網站後台使用https,一切操作(包括登入)都基於POST,都使用U盾進行挑戰/回應校驗,MD5和SHA1雙校驗,所有校驗碼只能用一次,所有POST資料都參與校驗驗碼計算,本地目錄完全只讀(上傳使用雲端存儲,不使用本地),資料庫純內網訪問,這樣做是不是從代碼層面就足夠安全了?不考慮伺服器本身漏洞、社工、旁注、DNS入侵等非程式碼層面的安全問題。
另外,構想一套蜜罐系統,系統只要檢測到任意攻擊行為,自動切換到蜜罐中,後台外觀與真實後台一模一樣,數據(敏感數據除外)一樣,所有操作完全封閉在蜜罐中,是不是更好些?
網站後台使用https,一切操作(包括登入)都基於POST,都使用U盾進行挑戰/回應校驗,MD5和SHA1雙校驗,所有校驗碼只能用一次,所有POST資料都參與校驗驗碼計算,本地目錄完全只讀(上傳使用雲端存儲,不使用本地),資料庫純內網訪問,這樣做是不是從代碼層面就足夠安全了?不考慮伺服器本身漏洞、社工、旁注、DNS入侵等非程式碼層面的安全問題。
另外,構想一套蜜罐系統,系統只要檢測到任意攻擊行為,自動切換到蜜罐中,後台外觀與真實後台一模一樣,數據(敏感數據除外)一樣,所有操作完全封閉在蜜罐中,是不是更好些?