安全程序应该总是“安全地失败”,也就是说,它应该设计为一旦失败,出现的是最安全的结果。对于关键性安全程序,这一般意味着在检测到某些错误行为(格式不正确的输入、到达某个“不可能到达”的状态,等等)时,程序应该立刻拒绝服务并停止处理该请求。不要试图“指出用户想做什么”:只是拒绝服务。有时这会降低可靠性或可用性(从用户的角度来看),但它会提高安全性。在若干场合这可能不是所期望的结果(例如拒绝服务比丧失秘密或完整要坏得多的场合),但这样的情况是相当少见的。
注意,我推荐的是“停止处理该请求”,而不是“一起失败”。特别是大多数服务器不应该在得到格式不正确的输入时完全暂停,因为这会给拒绝服务攻击创造一个平常的机会(攻击者只要发送垃圾比特就可以阻止他人使用服务了)。有时让整个系统宕机是必需的,特别是到达某个“不可能到达”的状态可能表明一个问题的严重程度使得继续运行变得不理智。
要仔细考虑检测到失效时发回的错误信息。如果什么都不发回,可能很难诊断问题,但发回太多的信息,可能无意中帮助了攻击者。通常最好的方法是回答“拒绝访问”或“遇到多种错误”,然后把更详细的信息写入一个审计日志文件(在这里就可以更好地控制哪些人可以看到这些信息)。