安全与损害控制

最近我发布了一个问题,关于在一个系统中使用单独的数据库进行管理和公共登录是否是一个好主意ASP.NETSQL授权数据库,以防止对公共站点的损害溢出到管理端。

不过,我想我问的是一个更大的问题——在保护应用程序时,您是否应该花时间进行损坏控制?

我可以看到支持它的论据,很明显,您希望限制安全漏洞的暴露,这可能来自您的框架。另一方面,在任何情况下,您只有有限的资源,而构建这些“墙内墙”需要时间和精力,而不是您安全工作的主要重点。

是否有明确的、公认的最佳安全实践来解决这个问题?