安全性

企業網站的安全性尤其重要,如果您的網站中存在需要授權才能訪問的內容,保護好這些內容是您的責任,使用安全的資料庫技術,對關鍵資料進行加密,過濾用戶上傳的資料是保證企業網站安全的重要途徑。網站安全性遵從以下規則:

使用安全的資料庫技術

目前主流的資料庫技術包括 MS SQL Server, Oracle, IBM DB2, MySQL, PostgreSQL,其中 MySQL 和 PostgreSQL 屬於開源資料庫,其他三種資料庫根據不同許可方式有不同的價格。考慮到安全,它們都是非常安全的資料庫技術,需要注意的是,我們並不建議採用 Access,首先 Access 是一種桌面資料庫,並不適合可能面臨海量訪問的企業網站,其次,Access 是一種非常不安全的網站資料庫,如果您的 Access 資料庫檔的路徑被獲取,人們很容易將這個資料庫檔下載下來並看到資料庫內的一切內容,包括需要授權才能看到的內容。如果您選擇 Access 的原因是因爲它免費,您需要知道 MSDE 也是免費的。

用戶密碼或其他機密資料必須用成熟加密技術加密後再存放到資料庫

使用明文在資料庫中存儲用戶密碼,信用卡號等資料是非常危險的,即使您使用的是非常安全的資料庫技術,仍然要非常謹慎,任何機密資料都應該加密存儲,這樣即使您的資料庫被攻破,那些重要的機密資料仍然是安全的。

密碼或其他機密資料必須用成熟加密技術加密後才能通過表單傳遞

如果您的網站沒有使用 HTTPS 加密技術,那您的網站伺服器和訪問客戶之間的所有資料都是以明文傳輸的,這些資料很容易在交換機和路由器節點的位置被截獲,如果您無法部署 HTTPS,將所有機密資料加密後再通過網路傳播是非常有效的辦法

密碼或其他機密資料必須用成熟加密技術加密後才能寫入 Cookie

很多網站將用戶帳戶資訊寫到 Cookie 中,以便用戶下次訪問時可以直接登陸。如果用戶帳戶資訊未經加密直接寫到 Cookie 中,這些資料很容易通過查看 Cookie 檔獲得,尤其當您的用戶是和別人共用電腦的時候。

對於訪問者提交的任何資料,都要進行惡意代碼檢查

雖然我們要信任用戶,但在網路中,我們必須假設所有用戶都是危險的,如果您不對他們提交的資料進行檢查,就可能出現 SQL Injection, Cross-site scripting 等安全問題。

網站必須有安全備份和恢復機制

任何網站都可能發生硬體或軟體災難,導致您的網站丟失資料,您必須根據您網站的規模和更新週期,定期對網站進行安全備份,在災難性事故發生以後,您的備份恢復機制需要在很短的時間內將整個網站恢復。需要注意的是,您一定要對您的備份恢復機制進行測試,保證您的備份資料是正確的。

網站的錯誤資訊必須經過處理後再輸出

錯誤消息常常包含非常可怕的技術細節,幫助駭客攻破您的網站,您應當對網站底層程式的錯誤消息進行處理,防止那些調試資訊,技術細節暴露給普通訪問者。





評論
...
發表評論


用戶


評論(不超過1000字)


 8 x 7 = ? 請將左邊的算術題的結果填寫到左邊的輸入框  




 上頁: 設計完美企業網站的101項指標下頁: 性能 
  發送給朋友| 打印友好
7 x 12 小時服務熱線
0532 - 83669660
微信: comsharp
QQ: 13885509
QQ: 592748664
Skype: comsharp