Мой список:

Предпочитают управляемые языки. Несмотря на то, что они могут быть сдерживающие, языки, как Java или C # значительно труднее стрелять себе в ногу с. Я не имею ничего против C ++, нравится работать с ним (это мой основной язык на работе), и это можно написать C ++ надежно - видеть, как Satoshi сделал это для примера. Но это не так просто, поэтому Каминский был настолько удивлен, когда он увидел, что это было сделано.

Не пытайтесь переописать Bitcoin. Шутки в сторону. Это тяжело, я должен знать, либо найти способ использовать Satoshis код, или рассмотреть вопрос о принятии шанс с bitcoinj. Bitcoinj может использоваться с C ++, кстати, проверить родное отделение в мерзавца репо, чтобы увидеть, как это делается с помощью GCJ / CNI.

Сведите к минимуму площадь поверхности для атаки - запустить производство код на компьютере, на котором ничего не делать. Используйте ключ на основе SSH аутентификации только, без каких-либо паролей. Не размещать его с дешевыми поставщиками VPS, которые могут стать средством для атаки, либо предпочитает физическую форму в соседнем центре обработок данных вы можете управлять, или использовать провайдеры VPS, но скрыть ядро ​​вашего приложения за скрытый сервисом Tor, так что никто, кроме вы знаете, где его найти.

Рассмотрим Песочница различные части приложения и использовать RPC между ними. Я написал свою дипломную работу на эту тему. Такие инструменты, как SELinux или AppArmor могут быть использованы для ограничения хакеров, если они все-таки удается ворваться через уязвимый компонент. Так узнать о них и посмотреть, как их использовать. Управляемые платформы имеют еще одно преимущество здесь, потому что они, как правило, имеют удобные (но конкретный язык) механизмы RPC, построенные в так связи между компонентами песочницы легко. Но если все ваше приложение написано на одном языке, это не имеет значения. Для C ++ можно использовать ZeroC ICE или просто использовать собственный протокол.

Используйте утверждения либерально. Лучше разбить приложение и иметь некоторое время простоя, чем позволить ей войти неопределенное состояние, которое может быть использовано. Тем не менее, очевидно, утверждения могут быть использованы только для внутреннего состояния, которое никогда не должно быть испорчено, это не подходит для переходных условий, как плохой вход из сети. Еще раз, удалось выиграть языки. Исключения в C ++ очень трудно сделать правильно, потому что это гораздо труднее писать безопасный код исключения при выполнении ручного управления памятью. Исключение-безопасность редко рассматривается, в моем опыте, но это очень важно. В языке, как C ++, это может привести к повреждению памяти, если вы сделаете это неправильно, и это часто начало подвига. С сборкой мусора это намного проще.

TLS является хорошим выбором для защищенной связи, но, как вы, очевидно, уже знаете, это не то, что полезно в P2P сценарий, потому что вы (почти по определению) не знаете, кто вы говорите. Убедитесь, что вы действительно понимаете, почему вы хотите использовать шифрование там, то, что готов общаться ни с чем не приносит пользы много от шифрования, что связь.