Clement in a Nutshell

續上篇。其實我想了解大家如何做 web application 的保護，順道引證一下自己的看法。

互聯網危機處處，雖然一個 application 放上網目的可能只是 form to email 般的簡單，但一些立壞心腸的人可會視之為攻擊目標，spammer 會視為免費 spam engine，惡作劇的 cracker 可能會利用它炸電郵信箱，若果這個 application 有 vulnerability 的話，更有可能被 hacker 入侵伺服器。

所謂攻擊，可是成千上萬。可以是機械化的 (spam bot)，可以是人為的 (XSS)；可以是 common 的 (DDoS)，亦可以是 dedicated。當中最棘手的當然是針對性的攻擊，要防止的而且確要花很多資源，但一般常見的攻擊，要預防其實不難，諸如 input filtering 或 HTTP referer checking 都是其一，雖不是很驚為天人，但應付普通攻擊應該足夠有餘。

我常喜歡用家居保安做網上保安的例子：你也不會把家中門大開任人自出自入吧。雖然一個 web application 原意可能是方便，但方便自己時亦同時方便賊人，賊人永遠是取易捨難。簡單的加把鎖，已可防止一些無謂的損失。

I took it! And so should you.

填完才知道有抽獎。

漏了連結：http://www.alistapart.com/articles/webdesignsurvey

我想做個調查，了解大家做 web application 時如何做保安。

例如一張簡單 online form，是 form to mail 或者 form to DB，收集的不是個人敏感資料。大家在做這個 application 時會否做保安設定去防止 malicious usage？若有，會做到甚麼程度？

A. 甚麼也不做
B. 會 filter user input
C. 會 check HTTP referer
D. 使用 CAPTCHA
E. 使用 SSL
F. 會 Encrypt Mail / DB

歡迎留言說你的選擇，可以的話，請說一下你的理由。若有其他保安上的做法，亦歡迎補充。