BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

韩轶平:整个行业都要提高安全意识

| 作者 郑柯 关注 3 他的粉丝 发布于 2011年12月23日. 估计阅读时间: 4 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

韩轶平是雅虎软件研发(北京)有限公司的高级研发经理,在技术领域的多年积累,让他对本次用户信息泄露的安全事件有自己独特的看法,InfoQ也就此对他做了专访。

InfoQ:这次多家互联网公司发生的用户信息泄露事件,您觉得发生的原因有哪些?

韩轶平:我觉得最根本的原因还是认识问题,就是说大家在做产品的时候,很注重产品的性能、功能等等,甚至包括利润等等各方面。但是安全,可能多数,或者对很多公司来说,肯定没有放在一个重点上。从根本上来说,我觉得不是技术问题,是一个观念的问题。

InfoQ:大家在观念上还需要把这个更加重视起来?

韩轶平:对,很多企业可能把这些东西都当成次要的方面,而更多考虑的,无论是利润也好、用户也好、流量,等等能产生直接利益的东西,可能把这些间接的东西放在相对次要的地位上。

InfoQ:在面对类似问题的时候,公司应该采取哪些应急措施呢?

韩轶平:从应急措施来讲,今天有人在微博上发贴子说,有些网站去扫描泄露出来的数据,发现用户数据跟自己的用户数据问题,他们就会给用户发通知,说有存在泄露的可能。应急措施对于泄露数据的公司本身来说是要做的,对其他公司来说,被动防御变成主动防御。

InfoQ:您觉得对于前端开发来说最重要的安全考量是哪些呢?是否可以举三个最重要的因素?

韩轶平:有这么几点:第一,要确定用户隐私是什么,哪些是用户隐私数据。这不仅仅是密码这么简单。国际上很多公司,都有一套很完整的、很系统的规则,怎么样去看哪些数据是用户隐私,哪些数据可以公开,哪些不可以公开,哪些必须严格保护,这是第一方面。第二个是防攻击,最典型的例子,存储密码,这是用户隐私的问题,密码是最高级别的东西,不应该明文存储。另一方面,从整个网站的设计也好,产品设计也好,你必须要有相当的防攻击的考虑。第三点就是应急技术,任何时候出现各种问题的时候必须有预案,这点很重要,尤其从产品运营的角度。

InfoQ:对于后端的服务器层面,您觉得最重要的安全考量是什么?

韩轶平:我觉得还是这几点,这也不是一个具体的技术,而是整个安全设计的一个准则。实际上对我们来说,产品的设计理念就是要遵循这几个准则的。我们所有的产品,包括我所管的几个产品线,每一个产品在做的时候,都要做这些工作。我们有专门的法律团队和技术团队,专门帮你Review你的产品,哪些数据是公开的,哪些必须保密,然后会做所有技术的Review,我们这些全部都会做。

InfoQ:您对InfoQ的读者有哪些安全方面的建议呢?

韩轶平:我会有一个简单的密码生成算法,基于某个基础密码,然后有些变化规则,不需要特别复杂。我们知道现在的密码攻击大部分都是暴力攻击,然后稍微有一点规则,让密码有些变化,破解的难度会加大很多倍。另外一个就说密码要经常变。

我看很多人在做密码的频率分析,建议读者都可以看一看分析结果,什么样的密码特别多,这种都会成为攻击的对象。我也确实有看到一些微博分析了哪些是最常用的密码。

InfoQ:这次用户信息泄露事件,您觉得大家应该从中吸取哪些经验教训呢?

韩轶平:对这个事件,我最吃惊的,就是波及面应该是有史以来最大的。从第一家开始到现在已经有很多了吧,几乎就是泛滥了。从我来看,这可能是中国互联网历史上最大的灾难之一了。教训就是:整个行业都要提高安全意识。另一方面,希望能看到业界更多的相关安全解决方案。看到有那么多网站都有同样的问题,我确实很吃惊。

InfoQ安全系列—专访土豆网技术副总黄冬:后端服务器的隔离非常重要

InfoQ安全系列—专访友录创始人姜洋,谈移动客户端安全

InfoQ安全系列—专访安全宝CEO马杰:安全需要做到整条战线的严丝合缝

InfoQ安全系列—安全问题成为社区热点

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT