談起網站這個問題��,真的有點非常感受����,做網站建造的站長朋友����,只需網站有流量的����,有發展潛力的�����。網站多多少少都遇過網站安全的問題�����,諸如虛擬主機拜訪推遲���、服務器被侵略��、網站被黑客掛馬等等的網站安全問題���。這次我以網站安全問題為話題�,談一談網站建造中需求留意的網站安全�����。
現在�,黑客進犯網站已成為一個嚴重的網絡網站安全問題��。許多黑客甚至可以打破SSL加密和各種防火墻��,攻入Web網站的內部�,竊取信息���。黑客可以僅憑仗瀏覽器和幾個技巧�,即套取Web網站的客戶信用卡材料和其它保密信息���。嚴重威脅著網站安全��。
隨著防火墻和補丁辦理已逐漸走向規范化���,各類網絡設施應該是比以往更好�����。但不幸的是�,道高一尺����,魔高一丈����,黑客們已開端直接在應用層面臨Web網站下手��。要增強Web網站的安全性�����,首先要弄清關于網站安全的五個誤解���。
一�、網站安全的誤區之“Web網站運用了SSL加密�����,所以安全”
網站建造單靠SSL加密無法保障網站的安全���。網站啟用SSL加密后��,表明該網站發送和接收的信息都經過了加密處理�,可是SSL無法保障存儲在網站里的信息的安全�。許多網站采用了128位SSL加密����,但仍是被黑客攻破�。此外��,SSL也無法維護網站拜訪者的隱私信息��。這些隱私信息直接存在網站服務器里邊�,這是SSL所無法維護的��。
二�、網站安全的誤區之“Web網站運用了防火墻��,所以安全”
防火墻有拜訪過濾機制����,但仍是無法應對許多歹意行為���。許多網上商店�����、拍賣網站和BBS都安裝了防火墻��,但仍然脆弱���。防火墻通過設置“訪客名單”����,可以把歹意拜訪掃除在外��,只允許好心的拜訪者進來�?���?墒?����,如何鑒別好心拜訪和歹意拜訪是一個問題�����。拜訪一旦被允許�,后續的安全問題不是防火墻能應對了�����。
三����、網站安全的誤區之“縫隙掃描東西沒發現問題�����,所以安全”
自1990年代初以來�,縫隙掃描東西已經被廣泛運用���,以查找一些顯著的網絡安全縫隙����?�?墒?���,這種東西無法對網站應用程序進行檢測�����,無法查找程序中的縫隙���。 縫隙掃描東西生成一些特別的拜訪請求����,發送給Web網站�����,在獲取網站的呼應信息后進行剖析��。該東西將呼應信息與一些縫隙進行比照����,一旦發現可疑之處即報出安全縫隙?���,F在����,新版本的縫隙掃描東西一般能發現網站90%以上的常見安全問題��,但這種東西對網站應用程序也有許多力不從心的當地����。
四���、網站安全的誤區之“網站應用程序的安全問題是程序員造成的”
程序員的確造成了一些問題�,但有些問題程序員無法掌控�。
比如說�����,應用程序的源代碼可能從其它當地獲得��,這是公司內部程序開發人員所不能控制的�?�;蛟S���,公司可能會請一些離岸的開發商作一些定制開發�����,與原有程序整合�����,這其間也可能會呈現問題�����?��;蛟S����,一些程序員會拿來一些免費代碼做修正��,這也隱藏著安全問題���。再舉一個比如����,可能有兩個程序員來共同開發一個程序項目�����,他們別離開發的代碼都沒問題��,安全性好��,但整合在一起則可能呈現安全縫隙�。
現實地講�,軟件總是有縫隙的�,這種事每天都在發生��。安全縫隙只是很多縫隙中的一種�����。加強員工的培訓�,的確可以在必定程度上改進代碼的質量���。但需求留意��,人都會犯錯誤�����,縫隙無可避免����。有些縫隙可能要經過許多年后才會被發現�。
五�、網站安全的誤區之“咱們每年會對Web網站進行安全評價�����,所以安全”
一般來說��,網站應用程序的代碼變動快�����。對Web網站進行一年一度的安全評價比較必要����,但評價時的狀況可能與當前狀況有很大不同�����。網站應用程序只需有改動����,都會呈現安全問題的危險��。 |
咨詢服務熱線:400-099-8848
