建立強大的網絡安全

Question

我見過很多聲稱擁有銀行級安全加密功能的網站。如果他們的網站已經用php構建，除了使用mysql_real_escape_string和128位ssl加密之外，還有其他形式的安全性可以存在嗎？

Answer 1

準備好的陳述將是一個好的開始。大大改善了對於轉義字符串的擔心，這不是100％萬無一失。

http://php.net/manual/en/pdo.prepared-statements.php

而且，這些說法，而可能的事實，是種愚蠢 - 意味着人誰不明白網站的安全性。以下是其他形式的擔保什麼都沒有做，以「銀行級加密」

• ，嚴格執行強密碼策略
• 保持服務器的軟件更新
• 有你的服務器正確設置了幾個例子向上擺在首位
• 卸妝用戶提交的內容爲所有XSS試圖

有很多更可以被添加到列表中。我仍然有很多要了解安全性，但我希望能讓你開始。

Answer 2

安全認證的基本規則：有三種東西要檢查 - 你知道的東西，你有的東西，你是什麼東西。你應該至少使用其中的兩個。 （銀行通常使用密碼和智能卡或移動電話。）

至於「銀行級安全加密」，我猜想這是marketingspeak表示他們使用SSL，因爲客戶端 - 服務器連接是唯一的地方哪裏需要加密。 （你應該對你的密碼進行哈希和加密，但這不完全是加密。）

Answer 3

當一家公司在廣告「政府實力」或「銀行級」時，他們可能正在討論FIPS 140密碼標準。大多數情況下，密碼學並不是確保真實世界系統的問題。

例如，這個USB Key是非常脆弱的，它使用AES256的「FIPS 140」賣點！一個128位的數字非常龐大，它的AES128符合FIPS 140標準。多吃點東西只是一個陰莖測量比賽。美國政府幾乎沒有保安的榜樣，因爲Twitter can break their crypto，這不是由於密碼的密鑰大小。

Answer 4

許多公司相信（或試圖說服他們的客戶）他們是安全的，因爲他們使用強大的密碼學。如果攻擊者想要闖入他們的網站他們將要做的最後一件事是試圖破解密碼。他們將尋找諸如SQL注入，緩衝區溢出和CSRF等低下的成果。大多數漏洞並不是因爲加密弱，而是因爲基本安全原則從不信任用戶輸入沒有被遵循。不要誤解我的意思，密碼學是一個重要的組成部分，但使用它並不意味着你是安全的。

一個很好的開始就是看看保護網站上可用的許多資源。這裏有幾個：

• Web Application Exploits and Defenses
• Web Security: Are You Part Of The Problem?
• OWASP

Answer 5

銀行級的安全encription

[原文] 我想我會跑了一英里，如果我在網站上看到了這一點！

但是，認真...它很容易獲得SSL證書，而銀行用於客戶數據的則與其他地方沒有什麼不同（除了通常它們被承保的數量更大）。

然而，歐洲和北美的金融機構對他們如何管理和加密數據（例如BS7799）有着非常明確的限制，這些數據不僅定義了技術標準，而且還定義了操作實踐。所以聲稱你的SSL安全性與銀行一樣是一個非常部分的事實 - 而且真的只是一個市場營銷。

但要解決你的問題....似乎沸騰;直到「我如何使我的網站安全？」，擁有一個證書並使用mysql_real_escape_string（）幾乎不能抓到安全的表面。一個適當的答案會填滿幾本書。您可以先閱讀Steffan Esser和Chris Shifflet在互聯網上發表的內容。

C.