現代 Web 開發有許多挑戰，其中安全性既非常重要，又常常被低估。雖然威脅分析等技術日益被認為是任何嚴肅開發的必要條件，但每位開發人員都可以而且應該例行執行一些基本實務。

本文提供清晰簡潔的步驟，協助想要採用威脅建模的團隊。威脅建模是一種基於風險的方法，用於設計安全的系統。它是根據識別威脅來制定對策。隨著網路安全風險增加，企業也越來越意識到自己的責任，軟體開發團隊需要有效的方法將安全性納入軟體中。不幸的是，他們常常難以採用威脅建模。許多方法需要複雜、詳盡的前期分析，這與現代軟體團隊的工作方式不符。因此，我鼓勵團隊從簡單開始，然後逐步擴展，而不是停下一切來建立完美的威脅模型。

會話金鑰是用於加密 Cookie 的金鑰。應用程式開發人員在開發期間常常將其設定為弱金鑰，而且在製作期間不會修正。本文說明如何破解此類弱金鑰，以及如何使用破解的金鑰來取得主機應用程式的伺服器控制權。我們可以使用強金鑰和謹慎的金鑰管理來防止這種情況。函式庫作者應透過工具和文件來鼓勵這種做法。

隱私增強技術 (PET) 是提供增強隱私或機密性的技術，適用於其資料由軟體和系統處理、儲存和/或收集的人員。三種有價值且可供使用的 PET 如下：差分隱私、分散和聯合分析與學習，以及加密運算。它們提供嚴格的隱私保證，因此越來越受到歡迎，可以在最小化侵犯私人資料的情況下提供資料。

上週，我有幸在佛羅里達州四處走動，在多場 Microsoft 架構委員會會議中與丹·桑德林和大衛·勒布朗交談。對於不認識大衛·勒布朗的人來說，他與麥可·霍華德合著了非常受歡迎的書籍 撰寫安全程式碼。在每一場會議中，我都會針對 EAA 的 P 進行演講/問答（本週獲得 JavaWorld 獎項），而大衛會接著討論安全性。