1

现在很多公司关于网站登录上都是怎么设计的,怎么样才能确保万无一失

3个回答

7

已采纳

没有万无一失,只有见招拆招

安全是从操作系统开始到开发人员,管理人员个人素养全方位的命题

操作系统:关注业界新闻,及时打补丁。正确配置,权限最小化,强密码定期更换
数据库/web server:及时打补丁。正确配置,权限最小化,强密码定期更换
应用逻辑:科学的hash,收拢的鉴权服务,最小知识原则,XSS和各种协议劫持的防止,频率限制,恶意行为和异常流量监测
传输协议:https、证书等
开发人员:不要把密码存在文件里,更不要上传到github(别笑),不要记住密码,不要统一密码,不要把密码写在邮件里,不要把密码写在笔记服务里
开发人员/管理人员:个人信息安全,不要被乱点文件,不要乱装软件。社工知识,不要相信同事在邮件和IM上和你说让你传一些敏感信息给他,或者他传东西让你点开(不用windows是个更好的选择)。如果和360没有合作关系就不要装360。

还有如果公司用WIFI,不要广播SSID。不要用带着办公VPN、邮箱、IM等任何工作有关的账户的电脑连接其他免费WIFI,星巴克WIFI等WIFI热点

好累,简直列不完,就先告一段落吧

1
回复 Humphry

还真的别笑…… http://coolshell.cn/articles/3980.html <-- “我把我的管理员口令提交到了一个开源软件的源码里”

沙渺 · 2014年06月12日

展开评论
1

登录系统如果使用https登录的话还是很安全的,即使使用http登录被嗅探、或dns劫持的话也不关网站的问题,全部是客户端的问题。

作为网站的话

  • 保存密码使用安全的加密方法,使用动态密码加盐长度要足够,可以参考phpass,减小被拖库后的风险。
  • 避免sql注入
  • 输入内容过滤,主要是防止xss获取session
  • 服务器配置及维护问题
  • 不同应用使用不同权限的sql用户,避免使用root

一般的网站被拖库主要还是后三项导致的,登录过程一般不存在安全问题。

0

还是要有自己独立的登陆系统啊,用第三方绑定的总觉得不安

撰写答案