看好你的门-确保验证机制的安全(3)-正确处理验证信息

首先需要声明，本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解，仅供用于web系统安全方面的参考。

1、 前提

执行安全的验证机制，不仅仅要同时满足几个关键安全目标，许多的时候也需要牺牲其他目标。比如易用性、成本、还有功能。

2、 正确处理验证信息的基本要求

一些基本要求，写下来，以后也可以参考。
1. 要确认完整的用户名和密码等信息；也就是说，要区分大小写，不过滤或者修改任何字符，不添加也不截断密码；
2. 应用程序要在处理验证信息的过程中，主动防御无法预料的时间。重要的是，如果系统无法通过正常的验证，那么这个默认的返回值就是“false”，不要把成功作为默认值；
3. 对验证登陆信息的核心代码要进行全面的代码审查（这一块经常没人做，大家都认为用户登陆是一个极其简单的工作；最重要的大门往往是团队中最没有经验的实习生在开发）
4. 如果应用程序支持用户伪装功能（也就叫做用户变更）功能，应该要严格控制这种功能，防止攻击者滥用他获得未授权的访问。因为这种功能极度危险，最好从面向公众的应用程序彻底删除，最多在CN2、DCN等内部网之间有限放开；
5. 和登录阶段进展和各种验证结果都应该保存在服务器端，不能传送给客户端或者让客户端读取；
6. 禁止用户多次提交一项登陆信息；禁止用户修改已经被确认的数据；
7. 任何一个登陆阶段，都要核实前面的阶段是否顺利完成，而不是信任referer等类似可以被擅改的情况；一旦发现前面的阶段没有完成，应该要立即将验证尝试标记为恶意尝试；
8. 如果为了进一步提升安全需要，可以在登陆过程中让用户回答一个随机变化的问题，尽量提升攻击者的难度；
9. 如果对某一个用户提出一个特定的问题，那么对该问题进行长期存储，对用户每一次的失败登陆都用这个问题，一直到用户正确回答为止。（避免攻击者便利题库或者类似情况）