Web网站安全需澄清五个误解

转载 2005年05月02日 16:55:00
Web网站安全需澄清五个误解

作者:佚名 文章来源:电脑报

  目前,黑客攻击已成为一个很严重的网络问题。许多黑客甚至可以突破SSL加密和各种防火墙,攻入Web网站的内部,窃取信息。黑客可以仅凭借浏览器和几个技巧,即套取Web网站的客户信用卡资料和其它保密信息。  随着防火墙和补丁管理已逐渐走向规范化,各类网络设施应该是比以往更完全。但不幸的是,道高一尺,魔高一丈,黑客们已开始直接在应用层面对Web网站下手。市场研究公司Gartner的分析师指出,目前有70%的黑客袭击事件都发生在应用程序方面。要增强Web网站的安全性,首先要澄清五个误解。  
一、“Web网站使用了SSL加密,所以很安全”   
  单靠SSL加密无法保障网站的安全。网站启用SSL加密后,表明该网站发送和接收的信息都经过了加密处理,但是SSL无法保障存储在网站里的信息的安全。许多网站采用了128位SSL加密,但还是被黑客攻破。此外,SSL也无法保护网站访问者的隐私信息。这些隐私信息直接存在网站服务器里面,这是SSL所无法保护的。
二、“Web网站使用了防火墙,所以很安全”   
  防火墙有访问过滤机制,但还是无法应对许多恶意行为。许多网上商店、拍卖网站和BBS都安装了防火墙,但依然脆弱。防火墙通过设置“访客名单”,可以把恶意访问排除在外,只允许善意的访问者进来。但是,如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许,后续的安全问题就不是防火墙能应对了。  
三、“漏洞扫描工具没发现任何问题,所以很安全”  
 自1990年代初以来,漏洞扫描工具已经被广泛使用,以查找一些明显的网络安全漏洞。但是,这种工具无法对网站应用程序进行检测,无法查找程序中的漏洞。  漏洞扫描工具生成一些特殊的访问请求,发送给Web网站,在获取网站的响应信息后进行分析。该工具将响应信息与一些漏洞进行对比,一旦发现可疑之处即报出安全漏洞。目前,新版本的漏洞扫描工具一般能发现网站90%以上的常见安全问题,但这种工具对网站应用程序也有很多无能为力的地方。
四、“网站应用程序的安全问题是程序员造成的”   
程序员确实造成了一些问题,但有些问题程序员无法掌控。  比如说,应用程序的源代码可能最初从其它地方获得,这是公司内部程序开发人员所不能控制的。或者,公司可能会请一些离岸的开发商作一些定制开发,与原有程序整合,这其中也可能会出现问题。或者,一些程序员会拿来一些免费代码做修改,这也隐藏着安全问题。再举一个极端的例子,可能有两个程序员来共同开发一个程序项目,他们分别开发的代码都没有问题,安全性很好,但整合在一起则可能出现安全漏洞。  很现实地讲,软件总是有漏洞的,这种事每天都在发生。安全漏洞只是众多漏洞中的一种。加强员工的培训,确实可以在一定程度上改进代码的质量。但需要注意,任何人都会犯错误,漏洞无可避免。有些漏洞可能要经过许多年后才会被发现。
五、“我们每年会对Web网站进行安全评估,所以很安全”
  一般而言,网站应用程序的代码变动很快。对Web网站进行一年一度的安全评估非常必要,但评估时的情况可能与当前情况有很大不同。网站应用程序只要有任何改动,都会出现安全问题的隐患。  网站喜欢选在节假日对应用程序进行升级,圣诞节就是很典型的一个旺季。网站往往会增加许多新功能,但却忽略了安全上的考虑。如果网站不增加新功能,这又会对经营业绩产生影响。网站应该在程序开发的各个阶段都安排专业的安全人员。

信息安全技术相关的五个误解与谎言

来自:http://qing.blog.sina.com.cn/1891235985/70b9f891330038ps.html by Lenx Wei, http://lenx.10087...

undo学习系列之澄清一个被误解的概念

在oracle中有三种数据,data、redo和undo。undo是oracle在undo段中记录的信息,用于取消或回滚事务。学习上要把重点放在undo的作用以及基本概念。     你对数据执行修改...

献给业余数学之王:澄清对费马原理的误解

文章来源:http://www.guokr.com/article/59377/ 今天是费马诞辰。作为一名业余玩家,费马的学术成就却不亚于任何一位数学家。除了光芒四射的费马大定理,最为人所熟知的...

关于对J2EE几点误解和错误认识的澄清

关于对J2EE几点误解和错误认识的澄清 板桥里人 http://www.jdon.com   .Net和J2EE的争论一直没有停止,我也参加过“程序员”杂志主持的“.Net和Java之争”之类的讨...
  • lionzl
  • lionzl
  • 2012年05月24日 09:08
  • 302

【转帖】创业中的五个误解

创业现在被大家弄的乱七八糟的、似是而非的、虚头巴脑的、势利巴拉的、真假难辨的,我觉得今天有些对于创业的误解足以让一大堆年轻人在那浪费时间,所以特以其中一些我看到的与大家分享,期待更多人提出自己的见解。...

C++ 的五个普遍误解(2):垃圾回收

C++ 的五个普遍误解(2):垃圾回收 2014/12/22 | 分类: C/C++, 开发 | 2 条评论 | 标签: BJARNE STROUSTRUP, C++, 垃圾回收 ...

C++之父:C++ 的五个普遍误解(1)

C++之父:C++ 的五个普遍误解(1) 2014/12/22 | 分类: C/C++, 开发 | 2 条评论 | 标签: BJARNE STROUSTRUP, C++ 分享到...

C++之父:C++ 的五个普遍误解(3)

[为了增加您冬天阅读的乐趣,我们很荣幸地奉上Bjarne Stroustrup大神的这个包含3个部分的系列文章。第一部分在这里;第二部分在这里。今天我们正好在圣诞节之前完成这个系列。请欣赏。] 1....

五个广泛流传的对大龄程序员的误解

摘要: 最近我过了40岁生日。 一个朋友开玩笑的对我说:”嘿,我想这个意味着你已经老的不适合再去编程了吧!“,我表面上哈哈一笑,但心里却触动不少。 年龄歧视在我们这行里并不可笑。 就像今天用Java的...

微博变测试版,各门户网站澄清微博…

搜狐微博短暂关闭,网易微博至今“维护”   北京晚报讯(记者贾中山) 新浪、搜狐、网易、腾讯四大门户网站的微博最近均变成测试版,继搜狐微博短暂关闭后,昨晚7时起,网易微博突然关闭至今没有开通。很多网民...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Web网站安全需澄清五个误解
举报原因:
原因补充:

(最多只允许输入30个字)