避免向不受信任的用户提供过多信息;只需成功或失败即可,如果失败,只需说明失败原因并尽量减少关于失败原因的信息。将详细信息保存到审计跟踪日志中。例如
如果你的程序需要某种用户身份验证(例如,你正在编写网络服务或登录程序),在用户进行身份验证之前,尽可能少地向用户提供信息。 特别是,避免在身份验证之前泄露程序的版本号。 否则,如果发现程序的特定版本存在漏洞,那么未从该版本升级的用户会向攻击者宣称他们存在漏洞。
如果你的程序接受密码,不要回显它;这会创建另一种密码被看到的方式。