建立强大的网络安全

Question

我见过很多声称拥有银行级安全加密功能的网站。如果他们的网站已经用php构建，除了使用mysql_real_escape_string和128位ssl加密之外，还有其他形式的安全性可以存在吗？

Answer 1

准备好的陈述将是一个好的开始。大大改善了对于转义字符串的担心，这不是100％万无一失。

http://php.net/manual/en/pdo.prepared-statements.php

而且，这些说法，而可能的事实，是种愚蠢 - 意味着人谁不明白网站的安全性。以下是其他形式的担保什么都没有做，以“银行级加密”

• ，严格执行强密码策略
• 保持服务器的软件更新
• 有你的服务器正确设置了几个例子向上摆在首位
• 卸妆用户提交的内容为所有XSS试图

有很多更可以被添加到列表中。我仍然有很多要了解安全性，但我希望能让你开始。

Answer 2

安全认证的基本规则：有三种东西要检查 - 你知道的东西，你有的东西，你是什么东西。你应该至少使用其中的两个。 （银行通常使用密码和智能卡或移动电话。）

至于“银行级安全加密”，我猜想这是marketingspeak表示他们使用SSL，因为客户端 - 服务器连接是唯一的地方哪里需要加密。 （你应该对你的密码进行哈希和加密，但这不完全是加密。）

Answer 3

当一家公司在广告“政府实力”或“银行级”时，他们可能正在讨论FIPS 140密码标准。大多数情况下，密码学并不是确保真实世界系统的问题。

例如，这个USB Key是非常脆弱的，它使用AES256的“FIPS 140”卖点！一个128位的数字非常庞大，它的AES128符合FIPS 140标准。多吃点东西只是一个阴茎测量比赛。美国政府几乎没有保安的榜样，因为Twitter can break their crypto，这不是由于密码的密钥大小。

Answer 4

许多公司相信（或试图说服他们的客户）他们是安全的，因为他们使用强大的密码学。如果攻击者想要闯入他们的网站他们将要做的最后一件事是试图破解密码。他们将寻找诸如SQL注入，缓冲区溢出和CSRF等低下的成果。大多数漏洞并不是因为加密弱，而是因为基本安全原则从不信任用户输入没有被遵循。不要误解我的意思，密码学是一个重要的组成部分，但使用它并不意味着你是安全的。

一个很好的开始就是看看保护网站上可用的许多资源。这里有几个：

• Web Application Exploits and Defenses
• Web Security: Are You Part Of The Problem?
• OWASP

Answer 5

银行级的安全encription

[原文] 我想我会跑了一英里，如果我在网站上看到了这一点！

但是，认真...它很容易获得SSL证书，而银行用于客户数据的则与其他地方没有什么不同（除了通常它们被承保的数量更大）。

然而，欧洲和北美的金融机构对他们如何管理和加密数据（例如BS7799）有着非常明确的限制，这些数据不仅定义了技术标准，而且还定义了操作实践。所以声称你的SSL安全性与银行一样是一个非常部分的事实 - 而且真的只是一个市场营销。

但要解决你的问题....似乎沸腾;直到“我如何使我的网站安全？”，拥有一个证书并使用mysql_real_escape_string（）几乎不能抓到安全的表面。一个适当的答案会填满几本书。您可以先阅读Steffan Esser和Chris Shifflet在互联网上发表的内容。

C.