Do not answer a fool according to his folly, or you will be like him yourself. | |
| Proverbs 26:4 (NIV) |
避免给予不可靠用户过多的信息;简单地成功或失败,如果失败就只说失败,使失败原因的信息最少。把详细的信息保存下来作为检查跟踪的日志文件。例如:
如果程序要求某种用户认证(如编写一个网络服务或登录程序),在认证前只给用户提供尽可能少的信息。特别是要避免在认证前给出程序的版本号。否则,如果某个特别版本的程序被发现有个漏洞,那么还没有升级该版本的用户就容易招致攻击者的入侵。
如果程序接受了密码,不要返回它;这会造成密码被他人看见的另一个机会。