BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

专访友录创始人姜洋,谈移动客户端安全

| 作者 郑柯 关注 3 他的粉丝 发布于 2011年12月23日. 估计阅读时间: 4 分钟 | 如何结合区块链技术,帮助企业降本增效?让我们深度了解几个成功的案例。

姜洋是知名手机软件“友录通讯录”的创始人之一,该软件1年间收获了超千万次的下载,日前友录团队悄然推出了新的商务社交应用“友联系”,主打纸质名片识别、电子名片交换、同道聚会等维护和拓展人脉的功能。

从保存和保护用户备份的通讯录数据,到协助用户拓展人脉关系,安全性始终是姜洋及其团队考虑的重中之重,多年移动开发的经验也让他在这方面逐步有了真正的经验积累。针对近期用户信息泄露泄露的系列安全事件,InfoQ对他进行了专访。

InfoQ:从移动客户端开发的安全来讲,您觉得最应该注意的是哪些东西?

姜洋:手机客户端的安全,首先密码不能明文保存,这是最基本的。一般都是做一个MD5加密,但是反向MD5的库其实也挺多的,所以MD5这事儿也并不那么安全。我觉得还是要用一些对称的加密策略,去加密和服务器通讯的协议,一般是用AES。如果用AES,必然涉及到密钥,这个密钥如果直接写在程序里面,也是不安全的,有可能被反编出来。如果使用常量,也肯定很容易就找到了,特别是Java,Java是可以反编译的,就是混淆了也可以被找的到。

我们用的办法是这样:我们的密钥是t和平台相关的,Android平台用这个,iOS用另外一个,Windows Phone再换一个,这可以加强反编译的难度。还有很重要的一点:这个密钥也就是用一个函数算出来的,而不是写在常量里边,这是我们目前的做法。

手机客户端的安全这块儿,目前业界做得挺糟糕的。去年,美国的Instagram就出现了明文传输用户名和密码的重大安全漏洞。现在好多软件和新浪微博、FaceBook、QQ这些SNS平台是打通的,只要知道一个密码,就相当于他什么都知道了,这个也很不安全。如果走WiFi,通过WiFi抓取上行数据,WiFi里边经过的各种协议和信息都有可能被截获,然后知道用户的密码,特别是公共WiFi上。

我觉得加密这个东西,很难做到非常彻底,真要想把你的密钥找出来,目前也能找出来,只不过是增加他们的成本。有时候我觉得更主要的原因,还是出于程序员比较懒,由于懒的结果才犯这种错。

在后端服务器的安全上,我们在一开始创业的时候也强调得非常多。现在友录整个的数据已经上亿条了,我估计会有黑客惦记,所以我们也比较紧张。特别现在安全事故也发生挺多的,我们反正也经常强调吧。

InfoQ:像我们InfoQ的很多读者除了是技术人员之外,他本身也是用户,从用户角度出发,您还有哪些安全方面的建议?

姜洋:我建议他们不用那些安全上不靠谱的应用,但这可能也不太现实。用户反正一直就看那功能对他有没有价值,有他可能就去下载了。我觉得这个只能靠提高从业人员的素质。莫名其妙的一个应用装上,没有品牌的这样一个应用,特别是说谁做了一个打通新浪微博的应用,然后用了一下,就可能会出问题。用户在用应用的时候,最好知道可能会发生什么,那会好一点。

这就好比说:大街上随便谁放一个提款机,让你把银行卡插进去,然后你就指着从里边取出来钱,其实这两个事挺类似的。之前好像也有人造那种假的提款机出来,然后窃取用户密码,你的钱就被偷走了。我觉得现在的互联网行业有点类似。

InfoQ:也就是说其实这种隐患还是很多的,用户一定要自己长个心眼就对了?

姜洋:对,这没啥办法,可能你大街上放个取款机这事儿挺大的,有人来查你。但是做一个App太容易了,目前没啥好办法。

InfoQ:这次用户信息泄露事件,你觉得大家应该从里面吸收什么样的经验教训?

姜洋:我觉得这给整个行业提了个醒,所有做同类事情的,保存用户名、密码的,都留神点。但因为某几个程序员懒了一下,就如何如何了,我觉得也不会。还是领导不够重视,领导如果亲自盯一下,问的多一点,把每个细节关键细节都问一遍,应该也不至于发生这种事。

InfoQ安全系列—专访韩轶平:整个行业都要提高安全意识

InfoQ安全系列—专访土豆网技术副总黄冬:后端服务器的隔离非常重要

InfoQ安全系列—专访安全宝CEO马杰:安全需要做到整条战线的严丝合缝

InfoQ安全系列—安全问题成为社区热点

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

乱七八糟 by 覃 清

我们用的办法是这样:我们的密钥是t和平台相关的,Android平台用这个,iOS用另外一个,Windows Phone再换一个,这可以加强反编译的难度。还有很重要的一点:这个密钥也就是用一个函数算出来的,而不是写在常量里边,这是我们目前的做法。 --- 这样也叫增强安全?

有时候我觉得更主要的原因,还是出于程序员比较懒,由于懒的结果才犯这种错。 ---- ?

Re: 乱七八糟 by 李 中华

估计这个函数很复杂,很长,很难读吧。

Re: 乱七八糟 by wang aser

我觉得也不能用一个懒字解释,公司没管理 没安全规定吗 难道最后也要归结于“无证程序员” “临时工”?

主要程序员懒 造成的信息安全问题? by chen lei

但全文上下都没能提出一个好的解决办法,却指出主要程序员懒 造成的信息安全问题。
没文化 好可怕。

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

4 讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT