[安全性]一个完美网站的101项指标之五

安全|安全性|网站

  网站的安全非常重要,如果您的网站中存在需要授权才能访问的内容,保护好这些内容是您的责任,使用安全的数据库技术,对关键数据进行加密,过滤用户上传的数据是保证网站安全的重要途径。网站安全性遵从以下规则:

  使用安全的数据库技术

  目前主流的数据库技术包括 MS SQL Server, Oracle, IBM DB2, MySQL, PostgreSQL,其中 MySQL 和 PostgreSQL 属于开源数据库,其它三种数据库根据不同许可方式有不同的价格。考虑到安全,它们都是非常安全的数据库技术,需要注意的是,我们并不建议采用 Access,首先 Access 是一种桌面数据库,并不适合可能面临海量访问的企业网站,其次,Access 是一种非常不安全的网站数据库,如果您的 Access 数据库文件的路径被获取,人们很容易将这个数据库文件下载下来并看到数据库内的一切内容,包括需要授权才能看到的内容。如果您选择 Access 的原因是因为它免费,您需要知道 MSDE 也是免费的。

  用户密码或其它机密数据必须用成熟加密技术加密后再存放到数据库

  使用明文在数据库中存储用户密码,信用卡号等数据是非常危险的,即使您使用的是非常安全的数据库技术,仍然要非常谨慎,任何机密数据都应该加密存储,这样即使您的数据库被攻破,那些重要的机密数据仍然是安全的。

  密码或其它机密数据必须用成熟加密技术加密后才能通过表单传递

  如果您的网站没有使用 HTTPS 加密技术,那您的网站服务器和访问客户之间的所有数据都是以明文传输的,这些数据很容易在交换机和路由器节点的位置被截获,如果您无法部署 HTTPS,将所有机密数据加密后再通过网络传播是非常有效的办法

  密码或其它机密数据必须用成熟加密技术加密后才能写入 Cookie

  很多网站将用户帐户信息写到 Cookie 中,以便用户下次访问时可以直接登陆。如果用户帐户信息未经加密直接写到 Cookie 中,这些数据很容易通过查看 Cookie 文件获得,尤其当您的用户是和别人共用电脑的时候。

  对于访问者提交的任何数据,都要进行恶意代码检查

  虽然我们要信任用户,但在网络中,我们必须假设所有用户都是危险的,如果您不对他们提交的数据进行检查,就可能出现 SQL Injection, Cross-site scripting 等安全问题。

  网站必须有安全备份和恢复机制

  任何网站都可能发生硬件或软件灾难,导致您的网站丢失数据,您必须根据您网站的规模和更新周期,定期对网站进行安全备份,在灾难性事故发生以后,您的备份恢复机制需要在很短的时间内将整个网站恢复。需要注意的是,您一定要对您的备份恢复机制进行测试,保证您的备份数据是正确的。

  网站的错误信息必须经过处理后再输出

  错误消息常常包含非常可怕的技术细节,帮助黑客攻破您的网站,您应当对网站底层程序的错误消息进行处理,防止那些调试信息,技术细节暴露给普通访问者。

 

时间: 2024-10-28 08:34:36

[安全性]一个完美网站的101项指标之五的相关文章

一个完美网站的101项指标

网站 前言 世界上最有趣的职业是网站设计师,有人为自己的作品喊价5000美金,有人129美金就行,而很多人根本看不出这两者的差别,我见过一个加拿大 Freelancer 设计师,他的网站上有个报价系统,你可以选择自己的预算范围,其中最小的一个选项是2500-5000美金,而在 Craigslist (www.craigslist.org)上,百把美金的网站设计师比比皆是.如果你读 Alistapart (www.alistapart.com),就会知道顶尖设计师整天都在想什么,他们简直是小题大做

[SEO优化]一个完美网站的101项指标之八

优化|seo|网站 完美网站的最后一个步骤是让更多的人找到您.搜索引擎是最理想的网站推广途径,将您的网站针对搜索引擎进行优化,使之更符合搜索引擎推荐的规范,可以显著提高您在自然搜索中的排名.我们的 SEO 规则包括: 网站中的每一页都应具备和本页内容相匹配的标题,描述,关键词 您的网站中的每一页都应包含 Title, Description, Keywords 三个 META TAG,它们的值应和本页的内容相匹配,尤其 Keywords,它们必须出现在本页内容的比较重要的位置,且保持一定的密度,

[网站性能]一个完美网站的101项指标之六

性能|网站 网站的性能关乎用户访问体验,让网站支撑更多用户,让每个用户的等待时间更短是我们的目标.性能的提高靠的是数据库优化,高效率的 HTML 代码渲染以及内容缓存.以下是提高网站性能的一些规则: 对数据库进行优化设计 合理使用 Index,使用高效 SQL 语句,减少数据库表的全表扫描,只返回必要的数据,这些都是非常有效的数据库优化方式,数据库往往是一个网站的性能瓶颈,您需要对数据库进行持续地优化,每一点微不足道的性能提高,累积起来都会带来质的改变. 使用 Store Procedure 进

[W3C标准]一个完美网站的101项指标之七

网站|w3c标准 符合 W3C 标准是网站的发展趋势,目前,几乎所有的浏览器都使用 W3C 标准,W3C 标准保证您的网站在所有主流浏览器中都获得一致的表现,您再也不需要象90年代末那样,向不同的浏览器输出不同的内容. W3C 拥有众多标准,用在网站建设方面的有 HTML, XHTML, CSS,关于这些标准,您可以参考下面的文章或资源: W3C 官方网站的一些资料 http://www.w3.org  (W3C 官方网站) http://validator.w3.org/  (HTML 或 X

[内容为王]完美网站的101项指标之二

网站 内容是一个网站最有价值的部分,内容为王就是这个意思,用户访问您的网站的唯一目的是获取有价值的内容,丰富的内容,准确的内容,不断更新的内容是成功网站的三个要素.完美网站的 101 项指标中,有 23 项是关于内容的,我们把内容放在首位,事实上,您应该把 80% 的重心放在内容上面,这 23 项内容指标分别为: 丰富的内容 一个内容匮乏的企业网站,给用户带来的失望是难以想象的,用户通过搜索引擎,广告,或朋友介绍来到您的网站,是带着需求而来,他们对您的企业,产品,服务缺乏了解,在这个时候,企业网

[界面UI设计]完美网站的101项指标之四

设计|网站 设计体现了一个网站的艺术素养,然而并不是说您应当过分设计,设计风格应结合您的行业,要简洁,清新,优雅,平和,设计仅仅是在用户访问您的内容时获得一种外在印象,不可喧宾夺主.设计应遵循以下原则. 为初次访问者传递专业的第一印象 好的设计会给初次访问者带来难忘的第一印象,然而设计的好与坏从来都是仁者见仁,智者见智的,没有统一标准,如果硬要设置一条标准,就是好的设计应给人以专业感,所谓的专业感,通俗地讲,就是设计要象个样子,不妨拿您的网站和世界500强的作个对比,您就会知道专业感是个什么样子

[易用性]完美网站的101项指标之三

网站 完美的内容是用来使用的,不管您的内容多么精彩,如果它们很难访问,用户照样会离开,易用性不仅仅牵扯到技术,更多的是良好的 Web 创作习惯,易用性包含34条规则,它们是: 只使用成熟,简单,兼容的技术 Web 技术一直在发展,因为 Http 协议最初只是为了表现简单的超文本,当人们赋予 Web 越来越多的使命的时候,Web 的局限性就表现出来了,为了解决这些问题,人们在 Web 上面附加了很多新技术以增强 Web 的表现能力,Cookie, Javscript, DHTML, ActiveX

完美企业网站的101项指标

世界上最有趣的职业是网站设计师,有人为自己的作品喊价5000美金,有人129美金就行,而很多人并看不出这两者的差别,我见过一个加拿大 Freelancer 设计师,他的网站上有个报价系统,你可以选择自己的预算范围,其中最小的一个选项是2500-5000美金,而在 Craigslist (www.craigslist.org)上,百把美金的网站设计师比比皆是.如果你读 Alistapart (www.alistapart.com),就会知道顶尖设计师整天都在想什么,他们简直是小题大做,为一些细微的

童幼峰:完美网站的四项特性

互联网从业八年多了,曾做个不少网站,或作为外围参与者,或作为策划及运营核心.涉及的网站性质也各种各样,有个人网站,有广告联盟,有所谓的WEB2.0概念的网站,有地域门户等.另外在做联盟的4年间,曾帮助数百家网站做个产品及推广方案.这期间有过一些成绩,比如其中skyhits和unionsky等两家网站都曾进入过Alexa全球排名Top100.曾帮淘宝做过成功的推广.但更多的是走了弯路,付了学费.这些年下来总结了不少理论和概念,比如我心目中的所谓"完美网站",我认为一个完美网站,得具备以下