服务器安全操作规程
哇!
花旗 确实搞砸了他们的在线安全 。 它们包括帐户信息作为URL的一部分。 您可以更改URL并访问其他人的帐户信息。 Yikes o rama,这是一个糟糕的设计。
花旗 确实搞砸了他们的在线安全 。 它们包括帐户信息作为URL的一部分。 您可以更改URL并访问其他人的帐户信息。 Yikes o rama,这是一个糟糕的设计。
我曾经见过很多不良的安全设计,但是我提出了一些简单的安全规则:
- 默默无闻的安全性永远行不通。 假设攻击者拥有您的源代码。 如果您对数据进行了非常酷的模糊处理(例如像花旗银行的人员那样以某种模糊的方式将帐号存储在URL中),那么有人会并且将会破坏您的算法并破坏您的系统。
- 如果系统的任何部分都可以读取数据,则系统的所有部分都可以读取数据。 例如,如果您正在编写iOS应用程序并正在加密本地数据库中的数据,则可以解密它以便在应用程序中使用它的事实意味着其他人也可以解密它。
- 上面的推论是,一旦数据从您的服务器中逸出,坏人就可以获取数据,因此,请尽可能少地释放数据。
- 同样,永远不要信任网络上的数据。 可以伪造和篡改任何HTTP / HTTPS请求。 这意味着,如果您在隐藏字段中将主键作为HTML表单的一部分发送,请确保在提交表单时,该主键与您最初发送的主键相同。 但是您会说:“我如何验证它是我发送的那个……如果我可以将状态保留在服务器端&