一個完全安全的系統幾乎是不可能的,因此安全專業人員經常使用的方法是平衡風險和可用性。如果使用者提交的每個變數都需要兩種形式的生物識別驗證(例如視網膜掃描和指紋),那麼您的責任級別將會非常高。但填寫一個相當複雜的表格也需要半個小時,這往往會鼓勵使用者尋找繞過安全性的方法。
最佳的安全性通常是不引人注目的,它足以滿足需求,同時不會妨礙使用者完成工作,也不會讓程式碼作者承擔過多的複雜性。事實上,一些安全攻擊僅僅是利用了這種過度構建的安全性,這種安全性往往會隨著時間的推移而被削弱。
一句值得記住的話:一個系統的強度取決於其最薄弱的環節。如果所有交易都根據時間、地點、交易類型等進行了嚴格的記錄,但使用者驗證僅基於單個 cookie,那麼將使用者與交易日誌綁定的有效性就會嚴重減弱。
在測試時,請記住,即使是最簡單的頁面,您也無法測試所有可能性。您預期的輸入可能與心懷不滿的員工、擁有數月時間的駭客或在鍵盤上走動的家貓所提供的輸入完全無關。這就是為什麼最好從邏輯角度審視程式碼,以辨別哪裡可能會引入意外資料,然後追蹤它是如何被修改、減少或放大的。
網網絡上充滿了試圖透過破解您的程式碼、癱瘓您的網站、發佈不當內容以及其他方式讓您的一天變得「精彩」來揚名立萬的人。無論您的網站規模大小,只要您在線上,只要您的伺服器可以連線,您就是攻擊目標。許多破解程式並不會區分網站規模,它們只是在龐大的 IP 區塊中搜尋受害者。盡量不要成為其中之一。