Answers
首先不要在常识上作死:
- 涉及敏感身份信息时,HTTPS是必须的。
- 图片千万不要给出直接访问到图片文件的地址。
-
图片文件本身一定要在www根目录之外,实在不行那就要用http服务器的规则(
.htaccess
等)卡死一切访问。 - 千万不要用referer之类自欺欺人的限制方法。
- 敏感信息必须分库,测试环境和生产环境必须严格分离,DBA和开发必须严格分权。严禁开发人员在真正的敏感信息库中“畅通无阻”。
常识没问题的基础上,从访问控制技术来说:
-
实际上只要敏感信息(身份证图,以及姓名性别身份证号等文字)HTTPS就可以了。完全可以HTTP页面+JS脚本动态请求HTTPS内容,甚至
<iframe>
也是个选择。如果条件不允许,其实不一定要一步到位全程HTTPS。 - 图片务必用PHP请求直接写给用户,这样才有可能用代码来保证卡住图片的访问权。
从安全策略来说:
- 社会工程学才是杀招。真正最不安全的地方是用户自己。
- 用户只要完成普通登录,就获得操作自己的数据的全部权力,这是极其危险的。
- 所以一定要引入两步验证。一般的操作,普通登录即可;但对敏感数据的操作,必须二次验证。
- 二次验证时验密是肯定的,必要时还可以考虑加验安全问题/手机验证码/出生日期等其他信息。
- 二次验证成功后(允许操作敏感信息)的超时时间,必须比一次验证(用户普通登录)的要短。造成用户即使尚未退出登录,但对敏感信息的操作已经需要重输密码的效果就对了。
- 二次验证绝对不能有任何的“保存密码”一类的设计。
- 允许用户在多个浏览器(或多个终端)上同时登录(一次验证)没有问题,但二次验证必须卡死:同一时刻只有一个终端,能够获得二次验证之后的登录权。
- 终端的识别办法很多。用session识别是最基本的,如果还能记录用户ip那就很安全了。
那么总结一下:
- 部署二次验证。
- 二次验证成功后,后台在数据库(或缓存)中记录:用户u,在IP地址为x的y终端上,在z时刻之前对敏感数据有访问权。
- 对敏感数据的一切操作(上传表单、下载图片、下载文字信息等),后台都要验证xyz是否符合。符合才能放行。
- 连一次登录都对不上的(登录者根本不是u),阻止就好了。
- 麻烦的是一次认证正确(登录者确实是用户u),但二次认证信息xyz不符。
- 此时必须:【一】阻止请求敏感信息 【二】提示客户端重新做二次验证 【三】把数据库中的xyz清除,即只要发现这个用户一切的可疑访问,就认为这个用户有安全风险,把他从二次验证里踢出去。
折齿的该隐
answered 9 years, 8 months ago