用戶操作的友好性與安全措施是一對矛盾，在提高安全性的同時，通常會降低可用性。在你為不合邏輯的使用者寫代碼時，必須要考慮到符合邏輯的正常使用者。要達到適當?shù)钠胶獾拇_很難，但是你必須去做好它，沒有人能替代你，因為這是你的軟件。

盡量使安全措施對用戶透明，使他們感受不到它的存在。如果實在不可能，就盡量采用用戶比較常見和熟悉的方式來進行。例如，在用戶訪問受控信息或服務(wù)前讓他們輸入用戶名和密碼就是一種比較好的方式。

當你懷疑可能有非法操作時，必須意識到你可能會搞借。例如，在用戶操作時如果系統(tǒng)對用戶身份有疑問時，通常用讓用戶再次錄入密碼。這對于合法用戶來說只是稍有不便，而對于攻擊者來說則是銅墻鐵壁。從技術(shù)上來說，這與提示用戶進行重新登錄基本是一樣的，但是在用戶感受上，則有天壤之別。

沒有必要將用戶踢出系統(tǒng)并指責(zé)他們是所謂的攻擊者。當你犯錯時，這些流程會極大的降低系統(tǒng)的可用性，而錯誤是難免的。

在本書中，我著重介紹透明和常用的安全措施，同時我建議大家對疑似攻擊行為做出小心和明智的反應(yīng)。