9.3.4 服务器端对策

最后一个要点是,Web应用开发人员和管理员不应该忘记,他们有帮助推进客户端安全的义务。我们在本书中已经了解到,Web攻击越来越多地瞄准存在于服务器上的漏洞,但是最直接影响的是客户端。这种情况的重要例子包括跨站脚本(XSS)和HTTP响应分割,这在第6章中已经讨论过。第6章和第10章中讨论的服务器端输入校验技术都应该得以运用。

网站也应该提供清晰和易于理解的策略和教育资源,帮助用户对抗像仿冒这样的社会工程攻击。当然,也强烈建议这些策略在技术上的实施(我们在第4章中讨论了一些服务器端验证技术,如CAPTCHA和PassMark,用于缓解仿冒攻击)。

最后,Web应用开发人员和管理人员应该小心地考虑从用户那里收集的信息类型。“拥有客户关系”现在已经成为趋势,导致市场活动的增值,收集和存储尽可能多的在线消费者信息。特别有害的一种做法是,使用个人可识别信息(PII)作为保护在线身份的“秘密”(在互联网搜索的时代,考虑一下这样的信息实际上有多“秘密”)。当然,生意归生意,但是在我们的咨询经历中发现,并不是所有这种信息都是有用的(商人基本上只需要年龄、性别和邮政编码)。而且,如果因为安全漏洞而出现泄露,这将成为严重的商业责任。如果你从一开始就不收集敏感的数据,就不必担心为了保护它而带来的负担!