像“偷窃者”一样思考网站的安全策略

    避免电子邮件地址泄露重要信息

    公司在网站上张贴信息时，最普遍也是最危险的情况是使用"详情请与某人联系"的电子邮件地址。Nick Brigman提醒说：不法者可以通过直接使用网站上公开的电子邮件名称，轻易获取到他们想要的信息。通常，恶意垃圾邮件制造者正是利用这些网站上公布的邮件地址和掩码地址进行垃圾邮件散布。这些地址和名称信息也可能被心存恶意的黑客利用，通过伪造电子邮件进行蠕虫或其他病毒的传播。

    Brigman同时建议：避开这种潜在危险的一个方法是利用Web表单（Web form），取代用户与公司内部电子邮件系统的直接联系方式。

    Ray Donahue建议：公司需要对他们网站上公布的其他联系方式进行测试。例如：如果公司在网站上公布了一个用于解答用户问题的电话号码，那么需要确定的是，负责回答该电话线路的工作人员应该清楚哪些信息是用于共享的。警惕那些心怀恶意的询问者，期望借此机会窃取公司内部重要信息和客户资料，或者从事其他破坏活动。

    避免泄露基础设施的相关信息

    IT技术顾问公司Razorfish的技术负责人Ray Velez指出：一些公司错误地将URL公布在网站上，这可能导致与之相关的应用服务器类型或主机信息被泄露。例如：旧版Sun One应用服务器的URL里包含一个标准的目录，在URL中命名为NASAPP。 Velez建议应该移除这个目录。

    此外，Nick Brigman还指出Web制作者一个经常性的错误操作，即直接从公司网络上撷取一个图标或文档，将它们放置在网页中。"这种错误的操作方法，使文件名、系统名、甚至文件结构等重要信息都可能通过数据被泄露。一旦不法者捕获到认为有用的信息，他们将利用工具和网状功能，实施更进一步的入侵并获取更多的信息。"

    从html/asp/jsp/php原始文件中删除技术评论

    Ray Velez解释这一做法是考虑到程序开发者的相关技术评论可能泄露某些重要信息，如你正在运行的技术类型，及其破解之道。这些技术评论可能会出现在终端用户的浏览器中。Velez提醒说，黑客通常喜欢浏览讯息留言板或相关的贴文，因此他们很清楚最新发布的安全补丁用于修复何种漏洞。这种隐患的存在，无论对未进行最新补丁升级的公司或者个人来说，都意味着将面临被攻击的可能。因此，必须警惕黑客试图利用这些"开发者"的技术评论作为破解网站安全防护的指南。

    此外，那些看上去仿佛只是由于技术故障而出现的错误消息应该避免被暴露。因为这些错误消息将显示代码中存在的弱点，并会泄露技术基础的相关信息。针对这个问题，Velez建议替换404状态码和其他40x错误讯息，采用能够让用户更容易了解，并且不会透露基础技术信息的错误提示页。

    在网站上使用非编辑模式的文档和图标

    SwiftView公司产品部经理Glenn Widener指出，网站上不妥当的信息公布方式也可能受到攻击。这是由于以原格式（如：Word、Visio、AutoCAD）存储的文档或图标不受数据篡改验证（tamper-proof）的保护；此外，Adobe Acrobat writing软件的任何使用者都可以对PDF文件进行篡改或编辑。考虑到防止数据篡改的安全措施可能错综复杂并且耗废大量时间，Glenn Widener建议网站上公布的文档或图标尽可能使用PCL、HPGL、TIFF、JPG等通用格式，从而避免受到恶意篡改或编辑。

    针对PCL格式，Widener建议：公司允许业务合作伙伴能够对一份业务计划的文本进行抽取，但不能对信息进行任何形式的编辑。业务合作伙伴能够使用任何形式的阅读器（如：SwiftView's）对文本进行查看，选择和打印。

    由于PCL格式具备良好的安全性，因此它在金融领域得到广泛运用，如：抵押银行通常采取PCL格式进行机密文档的传送。

    树立安全意识

    "这是我们从客户那里听到的一个观念，如今我们把它运用到自己的市场策略中，"Nick Brigman说。911事件之后，人们逐渐树立起更强的安全意识。需要紧记的是，对网站上可能被利用的信息应严格审查。有些重要信息没有直接出现在网站上，但并不表明这些信息不会被窃取。网站可能正是重要信息被泄露的一个漏洞。因此，对网站内容进行审查至关重要。如果公司的IT部门不能对网站内容提供专业的安全保护，那么就有必要聘请专业的第三方来履行这个安全责任。