談起網(wǎng)站這個(gè)問題�����,真的有點(diǎn)非常感受����,做網(wǎng)站建造的站長朋友����,只需網(wǎng)站有流量的,有發(fā)展?jié)摿Φ�����。網(wǎng)站多多少少都遇過網(wǎng)站安全的問題�����,諸如虛擬主機(jī)拜訪推遲����、服務(wù)器被侵略�����、網(wǎng)站被黑客掛馬等等的網(wǎng)站安全問題。這次我以網(wǎng)站安全問題為話題�����,談一談網(wǎng)站建造中需求留意的網(wǎng)站安全�����。
現(xiàn)在����,黑客進(jìn)犯網(wǎng)站已成為一個(gè)嚴(yán)重的網(wǎng)絡(luò)網(wǎng)站安全問題。許多黑客甚至可以打破SSL加密和各種防火墻����,攻入Web網(wǎng)站的內(nèi)部,竊取信息�����。黑客可以僅憑仗瀏覽器和幾個(gè)技巧�����,即套取Web網(wǎng)站的客戶信用卡材料和其它保密信息。嚴(yán)重威脅著網(wǎng)站安全����。
隨著防火墻和補(bǔ)丁辦理已逐漸走向規(guī)范化,各類網(wǎng)絡(luò)設(shè)施應(yīng)該是比以往更好�����。但不幸的是�����,道高一尺�����,魔高一丈�����,黑客們已開端直接在應(yīng)用層面臨Web網(wǎng)站下手�����。要增強(qiáng)Web網(wǎng)站的安全性����,首先要弄清關(guān)于網(wǎng)站安全的五個(gè)誤解。
一�����、網(wǎng)站安全的誤區(qū)之“Web網(wǎng)站運(yùn)用了SSL加密�����,所以安全”
網(wǎng)站建造單靠SSL加密無法保障網(wǎng)站的安全�����。網(wǎng)站啟用SSL加密后�����,表明該網(wǎng)站發(fā)送和接收的信息都經(jīng)過了加密處理����,可是SSL無法保障存儲在網(wǎng)站里的信息的安全。許多網(wǎng)站采用了128位SSL加密����,但仍是被黑客攻破�����。此外����,SSL也無法維護(hù)網(wǎng)站拜訪者的隱私信息�����。這些隱私信息直接存在網(wǎng)站服務(wù)器里邊�����,這是SSL所無法維護(hù)的����。
二、網(wǎng)站安全的誤區(qū)之“Web網(wǎng)站運(yùn)用了防火墻����,所以安全”
防火墻有拜訪過濾機(jī)制,但仍是無法應(yīng)對許多歹意行為�����。許多網(wǎng)上商店�����、拍賣網(wǎng)站和BBS都安裝了防火墻����,但仍然脆弱。防火墻通過設(shè)置“訪客名單”�����,可以把歹意拜訪掃除在外�����,只允許好心的拜訪者進(jìn)來���������?墒牵绾舞b別好心拜訪和歹意拜訪是一個(gè)問題�����。拜訪一旦被允許,后續(xù)的安全問題不是防火墻能應(yīng)對了�����。
三�����、網(wǎng)站安全的誤區(qū)之“縫隙掃描東西沒發(fā)現(xiàn)問題����,所以安全”
自1990年代初以來,縫隙掃描東西已經(jīng)被廣泛運(yùn)用����,以查找一些顯著的網(wǎng)絡(luò)安全縫隙�����?墒�����,這種東西無法對網(wǎng)站應(yīng)用程序進(jìn)行檢測,無法查找程序中的縫隙�����。 縫隙掃描東西生成一些特別的拜訪請求����,發(fā)送給Web網(wǎng)站����,在獲取網(wǎng)站的呼應(yīng)信息后進(jìn)行剖析。該東西將呼應(yīng)信息與一些縫隙進(jìn)行比照�����,一旦發(fā)現(xiàn)可疑之處即報(bào)出安全縫隙�����,F(xiàn)在����,新版本的縫隙掃描東西一般能發(fā)現(xiàn)網(wǎng)站90%以上的常見安全問題,但這種東西對網(wǎng)站應(yīng)用程序也有許多力不從心的當(dāng)?shù)亍?/p>
四�����、網(wǎng)站安全的誤區(qū)之“網(wǎng)站應(yīng)用程序的安全問題是程序員造成的”
程序員的確造成了一些問題,但有些問題程序員無法掌控����。
比如說,應(yīng)用程序的源代碼可能從其它當(dāng)?shù)孬@得����,這是公司內(nèi)部程序開發(fā)人員所不能控制的����;蛟S,公司可能會請一些離岸的開發(fā)商作一些定制開發(fā)����,與原有程序整合,這其間也可能會呈現(xiàn)問題����。或許�����,一些程序員會拿來一些免費(fèi)代碼做修正,這也隱藏著安全問題����。再舉一個(gè)比如,可能有兩個(gè)程序員來共同開發(fā)一個(gè)程序項(xiàng)目����,他們別離開發(fā)的代碼都沒問題����,安全性好,但整合在一起則可能呈現(xiàn)安全縫隙����。
現(xiàn)實(shí)地講,軟件總是有縫隙的����,這種事每天都在發(fā)生。安全縫隙只是很多縫隙中的一種����。加強(qiáng)員工的培訓(xùn),的確可以在必定程度上改進(jìn)代碼的質(zhì)量。但需求留意�����,人都會犯錯誤����,縫隙無可避免。有些縫隙可能要經(jīng)過許多年后才會被發(fā)現(xiàn)�����。
五����、網(wǎng)站安全的誤區(qū)之“咱們每年會對Web網(wǎng)站進(jìn)行安全評價(jià),所以安全”
一般來說����,網(wǎng)站應(yīng)用程序的代碼變動快。對Web網(wǎng)站進(jìn)行一年一度的安全評價(jià)比較必要�����,但評價(jià)時(shí)的狀況可能與當(dāng)前狀況有很大不同����。網(wǎng)站應(yīng)用程序只需有改動����,都會呈現(xiàn)安全問題的危險(xiǎn)����。 |
咨詢服務(wù)熱線:400-099-8848
