用戶操作的友好性與安全措施是一對矛盾，在提高安全性的同時，通常會降低可用性。在你為不合邏輯的使用者寫代碼時，必須要考慮到符合邏輯的正常使用者。要達到適當的平衡的確很難，但是你必須去做好它，沒有人能替代你，因為這是你的軟件。

盡量使安全措施對用戶透明，使他們感受不到它的存在。如果實在不可能，就盡量采用用戶比較常見和熟悉的方式來進行。例如，在用戶訪問受控信息或服務前讓他們輸入用戶名和密碼就是一種比較好的方式。

當你懷疑可能有非法操作時，必須意識到你可能會搞借。例如，在用戶操作時如果系統對用戶身份有疑問時，通常用讓用戶再次錄入密碼。這對于合法用戶來說只是稍有不便，而對于攻擊者來說則是銅墻鐵壁。從技術上來說，這與提示用戶進行重新登錄基本是一樣的，但是在用戶感受上，則有天壤之別。

沒有必要將用戶踢出系統并指責他們是所謂的攻擊者。當你犯錯時，這些流程會極大的降低系統的可用性，而錯誤是難免的。

在本書中，我著重介紹透明和常用的安全措施，同時我建議大家對疑似攻擊行為做出小心和明智的反應。