多用户密码或其它机密资料必须用成熟加密技术加密后再存放到资料库
使用明文在资料库中储存多用户密码,信用卡号等资料是非常危险的,即使您使用的是非常安全的资料库技术,仍然要非常谨慎,任何机密资料都应该加密储存,这样即使您的资料库被攻破,那些重要的机密资料仍然是安全的。
密码或其它机密资料必须用成熟加密技术加密后才能通过表单传递
如果您的网站没有使用 HTTPS 加密技术,那您的网站站群服务器和访问客户之间的所有资料都是以明文传输的,这些资料很容易在交换机和路由器节点的位置被截获,如果您无法部署 HTTPS,将所有机密资料加密后再通过网络传播是非常有效的办法
密码或其它机密资料必须用成熟加密技术加密后才能写入 Cookie
很多网站将多用户帐户资讯写到 Cookie 中,以便多用户下次访问时可以直接登陆。如果多用户帐户资讯未经加密直接写到 Cookie 中,这些资料很容易通过检视 Cookie 档案获得,尤其当您的多用户是和别人共用电脑的时候。
对于访问者提交的任何资料,都要进行恶意代码检查
虽然我们要信任多用户,但在网络中,我们必须假设所有多用户都是危险的,如果您不对他们提交的资料进行检查,就可能出现 SQLInjection,Cross-sitescripting 等安全问题。
网站必须有安全备份和恢复机制
任何网站都可能发生硬体或站群软件灾难,导致您的网站丢失资料,您必须根据您网站的规模和更新周期,定期对网站进行安全备份,在灾难性事故发生以后,您的备份恢复机制需要在很短的时间内将整个网站恢复。需要注意的是,您一定要对您的备份恢复机制进行测试,保证您的备份资料是正确的。