Utilizar node:https como servidor https para o projeto.

Deve-se gerar um par de chaves ssl:

$ openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem

Esse comando irá gerar duas chaves que iremos usar para a criptografia.

Podemos atualizar o arquivo app.js para ser parecido com isso (apenas um exemplo):

import { createServer } from 'node:https';
import { readFileSync } from 'node:fs';
const app = express();

const options = {
  key: readFileSync('caminho/para/key.pem'),
  cert: readFileSync('caminho/para/cert.cert')
};

const httpsServer = createServer(options, app);

httpsServer.listen(443, () => {
    let { address, family, port } = httpsServer.address();
    if(family === 'IPv6' && address === '::') {
        address = 'localhost';
    }
    app.set('address', address);
    rootLogger.info(`Listening on http://${address}:${port}`);
});

Referencias

• Gerando certificado auto-assinado
• StackOverflow - how to create an https server in node

Ler o manual de bet kali linux tool.

desenvolver e implementar utilizando um padrão de politica de privacidade e segurança - ampliar segurança do sistema em conjunto.

Estrutura da politica de segurança e privacidade

Politica de segurança e privacidade

Resumir a necessidade de tal politica, elaborando os pontos de "Confidencialidade", "autenticidade", "disponibilidade" e "integridade". Devemos destacar como prertendemos adaptar nosso sistema a estes conceitos e por se tratar de um contexto de vendas e compras online, teremos que garantir também a "Irretratabilidade ou não repúdio", isto é, garantir a impossibilidade de negar a autoria em relação a uma transação anteriormente feita, seja compra ou anuncio de produtos.

Autenticidade

Explicar como deve ser realizada a identificação de pessoa natural portadora de dados e como ela deve se portar ao:

• Adicionar produtos
• Acessar pedidos
• Atualizar dados de pedidos
• Realizar pedidos

Confidencialidade

Explicar a necessidade de se manter a confidencialidade de informações pertencentes à pessoa natural portadora de dados.
Isto é, garantir que apenas o portador de um cartão por exemplo, poderá acessar esta informação.

Deve listar formas de manter as informações sensíveis confidenciais, e garantir que todas as comunicações cliente-servidor serão confidenciais.

Disponibilidade

Descrever a relevancia do serviço permanecer no ar, destacando relevantes e possíveis causas de queda e como mitigá-las.
Será importante descrever os processos e post-mortem? Se sim, como deve ser armazenado o documento de incidente e resolução?

Integridade

Descrever como os processos internos da aplicação devem permitir auditoria sobre cada operação desempenhada e garantir o estado original (estabelecido pelo proprietário dos dados) assim como um histórico de alterações sobre cada atualização.

Ex.: Caso um pedido seja alterado, deve-se manter um log confiável de cada alteração e quem o alterou (incluindo alterações feitas pelo sistema).

Orientações de segurança para o usuário final (formato de lista)

[TODO]

Use smtp and node-mailer as email service

Quebre senhas simples com Hydra. Isso pode servir como uma forma de demonstrar porque devemos usar senhas fortes e melhorar nossa politica de segurança na plataforma.

Todo list:

[ ] Explicar como funciona o Hydra
[ ] Melhorar o arquivo de politica de segurança para que os devs saibam como resolver isso