【动易的安全性技术探讨】(防止黑客)
目前,为了防范因asp漏洞引起的攻击,很多cms系统都采用“本地添加文章,然后把更新过的文章通过ftp方式上传到服务器”这个方法。
本人觉得这样做,效率很低,因为上传那么多文件,要好长时间。严重影响网站浏览者的观看效果。而且,最要命的是----不同步。(比如你上传了首页,但是里面的文章页还没有上传完毕,那浏览者点击首页的文章题目,就会显示“找不到网页”的错误)
我觉得还可以通过另外一个方法来实现这个管理和发布分离的效果,就是:
准备两个虚拟主机空间(在同一个服务器),一个放动易管理程序,第二个虚拟主机放置生成后的html文件。
其中:第一个空间的域名不对外公布,只允许管理员自己知道。第二个空间,就是给浏览者看的。
管理员登录第一个空间,添加文章,点击生成的时候,自动把html文件生成到第二个空间里面。因为在同一个服务器上,所以生成的速度很快。
这样第二个空间里面的网站就完全和动易脱离了,即使动易漏洞百出,黑客也无能为力了。
****************************************************************
补充说明:
1 如果asp无法实现跨虚拟主机生成htm的话,那可以考虑用动易的dll来实现。
2 有朋友觉得这样会增加开支。其实第一个空间只需要100-200m就够了。因为只放一个动易程序和数据库而已。第二个空间,跟你自己网站的规模购买即可。成本只增加了几百元,但是安全性确得到了很好的保障。值得!
3 至于互动性的问题。完全可以解决。动易自己拆分成两步分就可以了。把互动性部分放在第二个空间里面,并且有自己的数据库。(比如点击统计,访问统计,文章评论等等)
4 其实sina sohu这些大网站,也采用这些技术来实现的。不过他们是用不同的服务器。我们陷于资金限制,用虚拟主机当作服务器,效果是一样的。
如果能实现这个效果的话,黑客单纯通过asp漏洞来攻击,已经是不可能的了。这样可以使动易做的网站完全不用担心黑客攻击了,把精力放在网站发展上面即可!!!
以上只是本人作为动易忠实用户对动易的一个建议,具体实现技术,本人并不熟悉。如果能实现的话,对动易的安全性,会是一个很好的保障,希望动易开发者能考虑一下。
[此贴子已经被作者于2004-12-23 11:38:08编辑过]