多使用者密碼或其它機密資料必須用成熟加密技術加密後再存放到資料庫
使用明文在資料庫中儲存多使用者密碼,信用卡號等資料是非常危險的,即使您使用的是非常安全的資料庫技術,仍然要非常謹慎,任何機密資料都應該加密儲存,這樣即使您的資料庫被攻破,那些重要的機密資料仍然是安全的。
密碼或其它機密資料必須用成熟加密技術加密後才能透過表單傳遞
如果您的網站沒有使用 HTTPS 加密技術,那您的網站站群伺服器和訪問客戶之間的所有資料都是以明文傳輸的,這些資料很容易在交換機和路由器節點的位置被截獲,如果您無法部署 HTTPS,將所有機密資料加密後再透過網路傳播是非常有效的辦法
密碼或其它機密資料必須用成熟加密技術加密後才能寫入 Cookie
很多網站將多使用者帳戶資訊寫到 Cookie 中,以便多使用者下次訪問時可以直接登陸。如果多使用者帳戶資訊未經加密直接寫到 Cookie 中,這些資料很容易透過檢視 Cookie 檔案獲得,尤其當您的多使用者是和別人共用電腦的時候。
對於訪問者提交的任何資料,都要進行惡意程式碼檢查
雖然我們要信任多使用者,但在網路中,我們必須假設所有多使用者都是危險的,如果您不對他們提交的資料進行檢查,就可能出現 SQLInjection,Cross-sitescripting 等安全問題。
網站必須有安全備份和恢復機制
任何網站都可能發生硬體或站群軟體災難,導致您的網站丟失資料,您必須根據您網站的規模和更新週期,定期對網站進行安全備份,在災難性事故發生以後,您的備份恢復機制需要在很短的時間內將整個網站恢復。需要注意的是,您一定要對您的備份恢復機制進行測試,保證您的備份資料是正確的。