http://chiunam.net/blog/archives/85 Every little thing counts Tue, 18 Nov 2008 22:01:42 +0000 http://wordpress.org/?v=2.6.1 http://chiunam.net/blog/archives/85#comment-3003 mk Mon, 16 Apr 2007 18:12:29 +0000 http://chiunam.net/blog/archives/85#comment-3003 那要看 Malicious usage 究竟是怎樣。保護使用者的話會將密碼放進資料庫前變成雜湊值(Hash)，而 form to mail 盡量不用(不經 HTTP)，因為統統會變成 clear text...(除非你還會附一條 public key... 不過這樣的話使用 HTTPS 對使用者會更為方便) SSL... 設定起來也不太麻煩，不過如果只是普通資料有點殺雞用牛刀的感覺。 保護網站方面，會檢查 user input 是必然的啦，原因也不用多說。同理，網頁一定不可以直接顯示用家輸入值。 Captcha 不會用，一來不方便使用者(歧視)，二來繞過這種東西實在簡單得很(有人甚至想過把認 captcha 的工作 outsource 給印度人) 還有這個，很值得一看：http://isc.sans.org/diary.html?storyid=1836 那要看 Malicious usage 究竟是怎樣。保護使用者的話會將密碼放進資料庫前變成雜湊值(Hash)，而 form to mail 盡量不用(不經 HTTP)，因為統統會變成 clear text…(除非你還會附一條 public key… 不過這樣的話使用 HTTPS 對使用者會更為方便)
SSL… 設定起來也不太麻煩，不過如果只是普通資料有點殺雞用牛刀的感覺。
保護網站方面，會檢查 user input 是必然的啦，原因也不用多說。同理，網頁一定不可以直接顯示用家輸入值。
Captcha 不會用，一來不方便使用者(歧視)，二來繞過這種東西實在簡單得很(有人甚至想過把認 captcha 的工作 outsource 給印度人)
還有這個，很值得一看：http://isc.sans.org/diary.html?storyid=1836

]]>