InfoQ

InfoQ

InfoQ

En | 中文 | 日本語 | Br

4月124,948独立访问用户

新闻

我的书签

登录注册 以永久保存书签。

该内容已经被标记书签!

标记书签错误,请重试!

专访安全宝CEO马杰:安全需要做到整条战线的严丝合缝

作者 郑柯 发布于 2011年12月22日

领域
企业架构,
运维 & 基础架构,
架构 & 设计,
语言 & 开发
主题
社区 ,
安全 ,
采访 ,
风险 ,
跨站脚本XSS
分享到

前不久,首次在中国举办的TechCrunch Disrupt 北京 2011大会上,创新工场旗下公司“安全宝”获得了创业项目大赛的第二名。他们开发的"安全宝"网站保护系统,为社区内的网站提供一站式安全解决方案,帮助网站防止诸如XSS、SQL注入、木马、零日攻击、僵尸网络等各种网站安全问题。

针对近期频繁发生的互联网公司用户信息泄露事件,InfoQ中文站专访了安全宝公司的CEO马杰

InfoQ:这次在多家互联网公司发生的用户信息泄露事件,您觉得发生的原因有哪些?

马杰:我觉得有几个方面的原因。

首先,所有的厂家应该意识到安全是一个长期的过程,不是曾经做过几次相关工作就可以的。我相信每个厂家都是做过一些安全工作的,可是没有长期坚持,所以有问题发生的时候,会给黑客一个机会。

第二,比方说这次信息泄露里面暴露出来的一些密码,并没有加密,说明前端的开发人员对安全的了解还是欠缺。从这个角度来说,这些公司需要对全部开发人员进行安全培训。

第三,这里头能看出一个问题,就是说我们事实上安全的责任在哪?如果把安全的责任推到前端负责业务逻辑开发的工程师身上,实际上他们不是安全专家,但是我们要求他们做出安全专家的事情来,这是现有的整个开发流程、管理流程上错误的地方,也是导致这种事件的根本原因。我们所有人都在要求前端的工程师必须做好安全,那他们明明不是安全专家你怎么能让他做安全呢?总是有疏漏的。所以这就像我们要求自己家里老婆管钱,但是需要老婆给我做个财务分析,她管管钱还行,但她不是专业做财务的人。我觉得这是现在行业的一个问题,一个现状,同时也是很多安全问题的本质原因。

InfoQ:您刚才提到Web前端的开发,您觉得对于前端开发来说最重要的安全考量是哪些呢?是否可以举三个最重要的因素?

马杰:这个问题我比较不想回答。为什么?是因为我说三个点,就会漏掉可能13个点。为什么?因为安全它是一条很长的防线,任何一个点的缺失就会导致整条防线其实白建了,所以我认为这本身也是对安全的不够了解所造成的。安全不是通过我们加强就可以达到效果的,安全需要做到整条战线的严丝合缝,所以它是一个系统工程。它首先需要参与的人要有安全意识,同时还需要大家也能把各个功能、模块、流程互相之间的缝要接好。

InfoQ:所以您的建议就是:不从Web前端,或者是后端服务器这个角度考虑,而是要有专门的专家队伍来去从整体上去思考这件事?

马杰:对,只去解决一、两个点,最后会给自己造成一种安全的幻觉。安全问题需要整体解决。

InfoQ:InfoQ的读者也是互联网用户,您对他们有哪些安全方面的建议呢?

马杰:几个建议。首先,在各个网站上不要大量使用相同的密码。像这次我们密码泄露的话,可能在别的网站的密码就会被别人猜到。

第二,去访问一些网站的时候,即使是一些比较知名的网站,也不能完全信任,比方说他说要安装一个什么东西的时候。因为每天在中国都会有很多网站被黑客,比如说被黑客挂马,一些网站本身虽然信誉很好,但是他有可能就被别人在里面挂进去病毒,所以你不能信任网站上过来的每一个要求你安装或执行的东西。

第三,在客户端本身,自己在Windows上面还是要安装比较合理的一些安全软件。我觉得做到这几点可能就会好很多。

InfoQ:从整体上去考量安全这件事,我觉得这算是这次事件给大家的一个经验教训。除了这点之外,您还有其他建议吗?

马杰:从整体考虑很重要。另外,我们不要把安全责任推到那些本来不应该负责安全的人身上,而是应该让专业的人去做专业的事情。

InfoQ安全系列—专访韩轶平:整个行业都要提高安全意识

InfoQ安全系列—专访土豆网技术副总黄冬:后端服务器的隔离非常重要

InfoQ安全系列—专访友录创始人姜洋,谈移动客户端安全

InfoQ安全系列—安全问题成为社区热点

郑柯 InfoQ中文站总编。做过开发,当过PM,干过销售,搞过市场,最终还是回到媒体。实用的理想主义者,相信:每天改变一点点,这个世界会更好。

相关厂商内容

保持某些系统的高可用性,是一些企业的重中之重,如何设计?

海量数据处理,海量视频分发,架构热点难点,尽在架构师峰会!

相关赞助商

ArchSummit全球架构师峰会报名启动!7折优惠,5月31日截止!

7 条回复

关注此讨论 回复

Re 发表人 rush digiter 发表于
安全是每个程序员都要考虑的问题。架构设计师尤其要多考虑。 发表人 李 中华 发表于
Re: 安全是每个程序员都要考虑的问题。架构设计师尤其要多考虑。 发表人 李 毅 发表于
Re: 安全是每个程序员都要考虑的问题。架构设计师尤其要多考虑。 发表人 李 中华 发表于
对非功能性需求的关注 发表人 侯 伯薇 发表于
Re: 对非功能性需求的关注 发表人 Jun Ran 发表于
Re 发表人 hua zhang 发表于
按日期倒序排列

  1. 返回顶部

    Re

    发表人 rush digiter

    安全确实是一个系统工程,但是也得从一点一滴做起呀

    回复

  2. 返回顶部

    安全是每个程序员都要考虑的问题。架构设计师尤其要多考虑。

    发表人 李 中华

    安全是每个程序员都要考虑的问题。架构设计师尤其要多考虑。

    马杰的个人履历我不清楚,不知这位CEO是安全专家还是管理方面的人才。这里的一些谈话我无法想象他是安全专家。

    回复

  3. 返回顶部

    对非功能性需求的关注

    发表人 侯 伯薇

    还记得大概八年前,就看过微软出版的一本书《编写安全的代码》,之后业界也似乎开始对安全问题非常关注,但仅仅是关注,实际上,在做项目的时候,为了满足用户的需求,为了满足各种利益相关者的关注点,我们一次又一次地用降低对非功能性需求的要求来换取功能性需求。

    我觉得,想要解决这个问题,需要一个真正理解架构的架构师,在功能性需求和非功能性需求之间做选择、平衡、取舍,否则这次我们关注的是安全性问题,很可能过段时间就会有性能上、可用性等等方面的问题。

    回复

  4. 返回顶部

    Re

    发表人 hua zhang

    这次的问题难道不是数据库泄漏并且密码在数据库中用明文保存吗?
    和前端开发有啥关系

    回复

  5. 返回顶部

    Re: 安全是每个程序员都要考虑的问题。架构设计师尤其要多考虑。

    发表人 李 毅

    这哥们是以前瑞星的,貌似可能在金山做过,前创新工场的CTO.这个访谈,看看就行,可能会有商业的考量的

    回复

  6. 返回顶部

    Re: 安全是每个程序员都要考虑的问题。架构设计师尤其要多考虑。

    发表人 李 中华

    赞同李兄的话

    回复

  7. 返回顶部

    Re: 对非功能性需求的关注

    发表人 Jun Ran

    这个视角挺独到的,确实也是导致安全问题的一个重要原因。

    其实最根本的还是这些企业不重视安全性问题,不愿意在上面投资。

    回复