现代网络开发面临许多挑战，其中安全是非常重要的，但往往没有得到重视。虽然威胁分析等技术越来越被认为是任何严肃开发的必要条件，但也有一些基本实践是每个开发人员可以而且应该理所当然地做的。

本文提供了清晰而简单的步骤，以帮助希望采用威胁建模的团队。威胁建模是一种基于风险的设计安全系统的方法。它的基础是查明威胁，以便制定减轻威胁的办法。随着网络安全风险的增加和企业越来越意识到他们的责任，软件开发团队需要有效的方法将安全构建到软件中。华体会登录网址不幸的是，他们往往难以采用威胁模型。许多方法需要复杂的、详尽的前期分析，这与现代软件团队的工作方式不匹配。因此，比起停止一切去创造完美的威胁模型，我鼓励团队从简单开始并从中发展。

会话秘密是用于加密cookie的密钥。应用程序开发人员通常在开发期间将其设置为弱键，而在生产期间不进行修复。本文将解释如何破解这种弱密钥，以及如何使用破解的密钥来获得对承载应用程序的服务器的控制。我们可以通过使用强密钥和仔细的密钥管理来防止这种情况。库的作者应该用工具和文档鼓励这种做法。

上周，我有幸在佛罗里达州与Dan Sandlin和David LeBlanc在一系列微软架构会议上进行了交谈。华体会体育网页版入口对于那些不知道大卫·勒布朗写了这本非常受欢迎的书的人来说编写安全代码和迈克尔·霍华德。每节课我都会做一个演讲/问答监管局的P(它得到了一个JavaWorld奖本周)，大卫负责安保工作。