Web 技术研究所

我一直坚信着,Web 将会成为未来应用程序的主流

安全性是可量化的

  「安全」这件事并不是一个简单的「是」和「否」的概念,而是一个可以量化的值。严格来说,所有的项目都存在安全问题,只是它们的安全级别不同而已。绝对没有安全问题的系统是不存在的,即便是 DDos,对应的防御也有一个极限,一切攻击只是成本问题而已。
  就拿撞库这件事来说吧。无论怎么提示,用户肯定会使用若密码,即使强制用户使用大小写字母、数字、特殊符号,它依然可能是个弱密码。要防止撞库的唯一办法就是在登陆时做限制,比如加上难以破解的验证码。但是加验证码又会有很多问题。如果任何一次登陆尝试都需要验证码,那可能会造成极差的用户体验,可能失去一部分用户。但如果只是限制某个 IP 前 n 次尝试需要验证码,那么攻击者就可以购买一坨肉鸡,换着 IP 来撞库。这件事我们可以量化来看:
做法攻击成本代价
总是需要验证码需要破解验证码丢失用户,开发成本增加
前 n 次需要验证码需要购买肉鸡丢失少量用户,开发成本增加
不需要验证码
  无论怎么做,总是有被攻击的风险,因为验证码这种东西总是可以破解的。上面的表格中我只是简单地将这件事分成了三个级别,实际上操作起来根据验证码的出现规则不同可以更加细分。产品经理可以在这一堆方案中找出一个均衡点来设计产品,当然也可以造出与这个系列完全不同的东西。比如手机短信登陆,扫码登陆等各种解决方案。
  但是产品经理往往不了解技术细节,所以开发人员可以提供多套技术方案,把安全性量化后让产品经理选择。
网名:
3.80.32.*
电子邮箱:
仅用于接收通知
提交 悄悄的告诉你,Ctrl+Enter 可以提交哦
神奇海螺
[查看全部主题]
各类Web技术问题讨论区
发起新主题
本模块采用即时聊天邮件通知的模式
让钛合金F5成为历史吧!
次碳酸钴的技术博客,文章原创,转载请保留原文链接 ^_^