治标还是治本.pdfVIP

【方法·安全】 治标还是治本 ★撰稿}本刊记者 石菲 是从软件的开发过程中就堵住各种安全漏洞，还是 在软件完成之后，发现漏洞再弥补。治标，还是治本? 一 早，王晓明像往常一样，来到公 司的第一件事就是打开电脑收 邮件。第一封邮件来自某某客户，里面 附了另一封邮件，是一家公司的介绍 信，第一句是这样写的：It is very nice to get in touch with you．We owe your name and address to“XX” (非常高兴和你联系，我们是从××公 司得到你的信息的)而这个××公司 正是他的代理公司。 怎么代理公司可以轻易泄露自己 的信息，王晓明很是气愤。如果说这 家代理公司是有意泄露客户信息的 话，有些无意泄露的信息更是让人防 不胜防。 瑞典IKEA公司的网上商店就出 现过一次失误，IKEA网站服务器的 可持续安全发晨是企韭砑绔应用的硬道理 一 个配置错误致使每一个访问该网站 的人都可以浏览到存放在一个数据库 DSL网络服务的客户，被泄漏的信息 Web应用安全不容忽视 文件内的客户信息。这些信息包括曾 中包含信用卡卡号与个人数据。虽然 上面提到的两起数据外泄事件都 向IKEA预订商品目录的客户姓名、 ATT公司声明这项人侵在数小时内 与Web应用安全有关，随着互联网技 地址、电话号码和电子邮件等。尽管 即被察觉．他们也随即通知信用卡公 术与直用的不断发展，Web应用极为 IKEA方面声称，事实上只有一个客 司卡号已外泄，并透过ernail、电话、 丰富的今天，Web服务器以其强大的 户看到了这些信息，而且公司在接到 信件通知受到影响的客户。ATT还 计算能力和处理性能及所蕴含的高昂 警告后很短时间内就堵上了这个漏 是会针对那些受到影响的客户提供信 价值，成为被攻击的主要目标。 洞，但还是有不少客户对他们失去了 用监控保护服务，防止身份窃盗事 在Internet大众化及Web技术飞 信心。 件。 速演变的今天，在线安全所面临的挑 而美国电信公司ATT由于计算 根据美国隐私权信息交换中心汇 战日益严峻。伴随着在线信息和服务 机系统遭到黑客人侵，其中可能有 整，ATT本次数据外泄只是数据安 的可用性的提升，以及基于Web的攻 1．9万客户资料遭影响。ATT在声 全破坏事件之一，今年以来大约有超 击和破坏的增长，安全风险达到了前 明中表示，受到这项非法入侵行动的 过9000万项个人记录被数十个数据外 所未有的高度。由于众多安全工作集 客户资料大都是通过ATT网站购买 泄事件泄漏。 中在网络本身上面，Web应用程序几 58 2008／03／10责任编辑．姜洪军 @CCU．C。m∞ … 一 … … … r … 一 … … … ～ … 一 … 【方法·安全】 一… 一 ……一…………… 乎被遗忘了。也许这是因为应用程序 而且，许多程序员不知道如何开 治标不如治本 过去常常是在一台计算机上运行的独 发安全的应用程序。他们的经验也许 Web应用安全是一个整体的安全 立程序，如果这台计算机安全的话，那 是开发独立应用程序或Intranet Web 概念，不单单是代码安全，还包括Web 么应用程序就是安全的。如今，情况大 应用程序，这些应用程序没有考虑到 应用配置、WebH~务器配置安全等等， 不一样了，Web应用