6.2. 인터페이스를 안전하게 해라

인터페이스는 최소한 (가능한 단순한), 정밀한 (단지 필요로 한 기능만을 제공) 및 고려된 (non-bypassable) 것이야 한다. 신뢰는 최소화되어야 한다. 사용자가 볼 수 있는 데이타를 제한하는 것을 고려해라.

애플리케이션 및 데이타 뷰어들이 외부에서 개발된 파일을 표시하기 위해 사용될 수 있으며 따라서 보안적인 sandbox 를 생성하기 위해 필요한 상세한 작업을 할 필요가 없고 의향이 없다면 일반적으로 뷰어들이 프로그램 (스크립트 또는 매크로) 을 받아들이는 것을 허용하지 마라. 가장 위험한 것은 애플리케이션이 적재될 때 및/또는 데이타가 초기에 표시될 때 실행되는 자동 실행 매크로이다; 보안 관점에서 보았을 때 매크로가 무엇을 할 것인지를 극히 강력하게 제어하지 않는다면 발생하길 기다리는 재앙인 것이다. 그리고 예전 경험은 실제 sandbox 를 구현하는 것은 어렵다고 보여왔다.