─不啻是引狼入室,把邀请函发给乐于探知你系统弱点何在的黑客。
费城律师事务所caesar, rivise, bernstein, cohen & pokotilow, ltd.的智慧财产权律师兼合伙人barry stein则提醒,网站内容若不严加把关,可能导致法律后果和销售额损失。小心翼翼避免商业机密和专业知识与技术外泄时,也不要忘了维护专利权。基于因特网全球无疆界的特性,「让原本可申请专利的发明细节曝光,若是数据外泄之前未申请到专利,可能造成公司丧失海外的专利权,」他说。
电子邮件住址避免指名道姓
企业网站上贴出的讯息中,最常见也最危险的一种,就是「详情请洽某某人」的电子邮件住址。nick brigman警告:「在网站上直接使用电子邮件姓名,是你必须防范的漏洞之一。」滥发邮件者常常从网站上搜集这些姓名,并以大量讯息疲劳轰炸这些电邮住址。恶意的黑客也可能撷取这些名字,用来伪造电子邮件,或把蠕虫和病毒传给不知情的收信人,让他们误以为是贵公司主管发的讯息。
brigman建议,避开这种潜在危险的一种办法,是以网络表格作为透过网站连络的管道,而不是让外人传来的连络函直通公司内部的电子邮件系统。
ray donahue另建议检验公司网站上公告的其它连络点。若你公布一个供潜在顾客打电话查询的专线号码,就必须确定接电话的人员已被充分告知可对外提供哪些信息。来电查询者也许想破坏你的公司、抢客户,或从事其它不胜枚举的卑鄙活动。时时谨慎就能提高警觉。
避免透露公司使用的基础设施
纽约市it咨询公司sbi的科技长ray velez说:「有些公司公布出标明应用服务器类型的url(全球资源寻址器),或系统供货商,这是一大错误。」比方说,旧版sun one应用服务器的url里包含一个标准的目录,称为nasapp,velez建议移除那个目录。
nick brigman指出网站设计师可能犯的另一种常见错误:从公司网络撷取一个商标图案或档案,然后把它贴在网页上。「这个数据经常会泄露数据取得途径的线索──文件名称、系统名称甚至档案结构。提供那些信息,就等于把搜寻数据的工具交给外人,」他说:「如蜘蛛结网一般,他们把数据组织起来,就能探知足够的讯息,进入下一层关卡,进而取得更多信息。」
从html/asp/jsp/php原始档中删除技术评论
ray velez说,程序开发者的评论也可能泄露你正在使用的技术类型,及其破解之道。这些评论可能在最终使用者的浏览器显现出来。「切记,」velez再叮咛一句:「黑客常阅读讯息留言板和贴文,很清楚最新发布的安全更新程序是用来修补什么漏洞。这是个问题,因为许多企业或个人并未安装最新版本的修补程序。所以,这些[开发者]评论可被当作破解某网站的指南。」
避免显示因技术问题产生的错误讯息
velez指出,这类错误讯息会暴露出你程序代码的弱点,且让基本架构技术的相关讯息外泄。拿掉409状态码和其它40x错误讯息,改用使用者更容易了解、而且不透露基本技术讯息的错误讯息页。
使用数字权管理以保护智能财产权
vele