一个完美网站的101项指标 第五部分.安全性
作者:35公里 来源:Comsharp.com 发布时间:2008-02-29 22:27:00
阅读上一篇:一个完美网站的101项指标.第四部分.设计
网站的安全非常重要,如果您的网站中存在需要授权才能访问的内容,保护好这些内容是您的责任,使用安全的数据库技术,对关键数据进行加密,过滤用户上传的数据是保证网站安全的重要途径。网站安全性遵从以下规则:
使用安全的数据库技术
目前主流的数据库技术包括 MS SQL Server, Oracle, IBM DB2, MySQL, PostgreSQL,其中 MySQL 和 PostgreSQL 属于开源数据库,其它三种数据库根据不同许可方式有不同的价格。考虑到安全,它们都是非常安全的数据库技术,需要注意的是,我们并不建议采用 Access,首先 Access 是一种桌面数据库,并不适合可能面临海量访问的企业网站,其次,Access 是一种非常不安全的网站数据库,如果您的 Access 数据库文件的路径被获取,人们很容易将这个数据库文件下载下来并看到数据库内的一切内容,包括需要授权才能看到的内容。如果您选择 Access 的原因是因为它免费,您需要知道 MSDE 也是免费的。
用户密码或其它机密数据必须用成熟加密技术加密后再存放到数据库
使用明文在数据库中存储用户密码,信用卡号等数据是非常危险的,即使您使用的是非常安全的数据库技术,仍然要非常谨慎,任何机密数据都应该加密存储,这样即使您的数据库被攻破,那些重要的机密数据仍然是安全的。
密码或其它机密数据必须用成熟加密技术加密后才能通过表单传递
如果您的网站没有使用 HTTPS 加密技术,那您的网站服务器和访问客户之间的所有数据都是以明文传输的,这些数据很容易在交换机和路由器节点的位置被截获,如果您无法部署 HTTPS,将所有机密数据加密后再通过网络传播是非常有效的办法
密码或其它机密数据必须用成熟加密技术加密后才能写入 Cookie
很多网站将用户帐户信息写到 Cookie 中,以便用户下次访问时可以直接登陆。如果用户帐户信息未经加密直接写到 Cookie 中,这些数据很容易通过查看 Cookie 文件获得,尤其当您的用户是和别人共用电脑的时候。
对于访问者提交的任何数据,都要进行恶意代码检查
虽然我们要信任用户,但在网络中,我们必须假设所有用户都是危险的,如果您不对他们提交的数据进行检查,就可能出现 SQL Injection, Cross-site scripting 等安全问题。
网站必须有安全备份和恢复机制
任何网站都可能发生硬件或软件灾难,导致您的网站丢失数据,您必须根据您网站的规模和更新周期,定期对网站进行安全备份,在灾难性事故发生以 后,您的备份恢复机制需要在很短的时间内将整个网站恢复。需要注意的是,您一定要对您的备份恢复机制进行测试,保证您的备份数据是正确的。
网站的错误信息必须经过处理后再输出
错误消息常常包含非常可怕的技术细节,帮助黑客攻破您的网站,您应当对网站底层程序的错误消息进行处理,防止那些调试信息,技术细节暴露给普通访问者。
猜你喜欢
- 我们终于进入了这个社会。从此结束了被学校老师看管的生涯,结束了做父母乖宝贝的日子,也结束从父母兄长那里拿钱的幸福时光。我们从家里搬了出来,提
- 什么是ARP地址解析协议(Address Resolution Protocol,ARP)是在仅知道主机的IP地址时确定其物理地址的一种协议
- 详细介绍了Linux环境下利用Rpm包安装Mysql的方法步骤。◆1、下载MySQL的安装文件安装MySQL需要下面两个文件:MySQL-s
- 随着Web数据库的应用越来越广泛,Web数据库的安全问题日益突出,如何才能保证和加强数据库的安全性已成为目前必须要解决的问题。数据库系统安全
- 最近媒体进行大量报道 * 新闻,还举报CNNIC监管CN域名不利,接下来CNNIC * 一系列政策,比如未备案域名将停止解析等等。面对当下复杂的
- 互联网是丰富多彩的,基本上能够找到我们需要的资源,也正因为如此很多朋友都加入到站长的行列中来。在众多站长之间也会存在明争暗斗的事情。尤其是我
- 如今在IT工业中,虚拟技术的发展已经蓄势待发,但在Linux集群中却难以成功。Beowulf工程的创始人之一Donald Becker说,这
- 假设apache日志格式为:118.78.199.98 – - [09/Jan/2010:00:59:59 +0800] “GET /Pub
- 万千游戏玩家瞩目的“金翎奖”已经落下了帷幕,多项大奖花落各家,几家欢喜几家愁。金山软件一如既往的为玩
- 背景:想装一台SAP ECC服务器,先预装XP,在装XP的时候就报错:VMware Workstation 未能启动 VMware Auth
- 转眼已入而立之年,虽没有大成绩,但是因为摸爬滚打而学得的经验小有一些,写了一些自己的心得,希望能够分享给大家,也希望能够帮助站长规避掉一些发
- 若干个月之前,Google的中国分公司谷歌人力资源部一位MM给我来电,说看了我的简历,希望安排一次电话面试,面试官是美国总部的一位华人,可以
- 3、添加WEB服务扩展接着我们要在IIS6中为URL授权添加一个Web服务扩展。在Internet信息服务(IIS)管理器窗口中,依次展开&
- Docker可以支持把一个宿主机上的目录挂载到镜像里。docker run -it -v /home/dock/Downloads:/usr
- 首先,根据自己网站的统计数据来分析,网上超多免费统计系统,随便找一个吧,里面都有很详细的搜索引擎来路、关键词来路分析等功能,我们要做的就是仔
- 博客(Blog)、维基(Wiki)、播客(Podcast)、RSS阅读改变了人们对传统门户网站的依赖,那么从Gmail开始,人们将改变传统电
- inux不支持所有命令怎么办?解决Linux所有命令不能使用的问题出现这个问题说明你的 /etc/profile 配置出现了问题,一般是因为
- AdSense 收入 = 广告展示次数 x 点击率 x 点击单价 x 智能定价因素(Smart Price)广告展示次数基于你的网站流量,该
- 本文介绍了docker搭建redis集群的环境搭建,分享给大家,废话不多说,具体如下:下载镜像docker pull redis准备配置文件
- 最近在使用 Ubuntu 20.04 的kazam进行录音的时候,发现了一个问题:使用系统默认的配置进行录音,录制出来的音频会有明显的噪音,