现在的黑客很厉害,理论上没有绝对安全的网站,所谓道高一尺魔高一丈,要想让网站安全,必须不断的学习,不断的完善漏洞。不要以为自己的网站使用了SSL加密,所以很安全。这样存在误区。网站启用SSL加密后,表明该网站发送和接收的信息都经过了加密处理。
但是SSL无法保障存储在网站里的信息的安全。许多网站采用了128位SSL加密,但还是被黑客攻破。此外,SSL也无法保护网站访问者的隐私信息。这些隐私信息直接存在网站服务器里面,这是SSL所无法保护的。
另外不要以为有网站防火墙就万事大吉了,防火墙有时候也是很脆弱的。许多网上商店、拍卖网站和BBS都安装了防火墙,但依然脆弱。防火墙通过设置"访客名单",可以把恶意访问排除在外,只允许善意的访问者进来。但是,如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许,后续的安全问题就不是防火墙能应对了。
不要盲目相信漏洞工具,因为很多漏洞工具查不到的。目前新版本的漏洞扫描工具一般能发现网站90%以上的常见安全问题,但这种工具对网站应用程序也有很多无能为力的地方。
但是SSL无法保障存储在网站里的信息的安全。许多网站采用了128位SSL加密,但还是被黑客攻破。此外,SSL也无法保护网站访问者的隐私信息。这些隐私信息直接存在网站服务器里面,这是SSL所无法保护的。
另外不要以为有网站防火墙就万事大吉了,防火墙有时候也是很脆弱的。许多网上商店、拍卖网站和BBS都安装了防火墙,但依然脆弱。防火墙通过设置"访客名单",可以把恶意访问排除在外,只允许善意的访问者进来。但是,如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许,后续的安全问题就不是防火墙能应对了。
不要盲目相信漏洞工具,因为很多漏洞工具查不到的。目前新版本的漏洞扫描工具一般能发现网站90%以上的常见安全问题,但这种工具对网站应用程序也有很多无能为力的地方。