写点什么

专访安全宝 CEO 马杰:安全需要做到整条战线的严丝合缝

  • 2011-12-22
  • 本文字数:1509 字

    阅读完需:约 5 分钟

前不久,首次在中国举办的 TechCrunch Disrupt 北京 2011 大会上,创新工场旗下公司“安全宝”获得了创业项目大赛的第二名。他们开发的"安全宝"网站保护系统,为社区内的网站提供一站式安全解决方案,帮助网站防止诸如XSS、SQL 注入、木马、零日攻击、僵尸网络等各种网站安全问题。

针对近期频繁发生的互联网公司用户信息泄露事件,InfoQ 中文站专访了安全宝公司的CEO马杰

InfoQ:这次在多家互联网公司发生的用户信息泄露事件,您觉得发生的原因有哪些?

马杰:我觉得有几个方面的原因。

首先,所有的厂家应该意识到安全是一个长期的过程,不是曾经做过几次相关工作就可以的。我相信每个厂家都是做过一些安全工作的,可是没有长期坚持,所以有问题发生的时候,会给黑客一个机会。

第二,比方说这次信息泄露里面暴露出来的一些密码,并没有加密,说明前端的开发人员对安全的了解还是欠缺。从这个角度来说,这些公司需要对全部开发人员进行安全培训。

第三,这里头能看出一个问题,就是说我们事实上安全的责任在哪?如果把安全的责任推到前端负责业务逻辑开发的工程师身上,实际上他们不是安全专家,但是我们要求他们做出安全专家的事情来,这是现有的整个开发流程、管理流程上错误的地方,也是导致这种事件的根本原因。我们所有人都在要求前端的工程师必须做好安全,那他们明明不是安全专家你怎么能让他做安全呢?总是有疏漏的。所以这就像我们要求自己家里老婆管钱,但是需要老婆给我做个财务分析,她管管钱还行,但她不是专业做财务的人。我觉得这是现在行业的一个问题,一个现状,同时也是很多安全问题的本质原因。

InfoQ:您刚才提到 Web 前端的开发,您觉得对于前端开发来说最重要的安全考量是哪些呢?是否可以举三个最重要的因素?

马杰:这个问题我比较不想回答。为什么?是因为我说三个点,就会漏掉可能 13 个点。为什么?因为安全它是一条很长的防线,任何一个点的缺失就会导致整条防线其实白建了,所以我认为这本身也是对安全的不够了解所造成的。安全不是通过我们加强就可以达到效果的,安全需要做到整条战线的严丝合缝,所以它是一个系统工程。它首先需要参与的人要有安全意识,同时还需要大家也能把各个功能、模块、流程互相之间的缝要接好。

InfoQ:所以您的建议就是:不从 Web 前端,或者是后端服务器这个角度考虑,而是要有专门的专家队伍来去从整体上去思考这件事?

马杰:对,只去解决一、两个点,最后会给自己造成一种安全的幻觉。安全问题需要整体解决。

InfoQ:InfoQ 的读者也是互联网用户,您对他们有哪些安全方面的建议呢?

马杰:几个建议。首先,在各个网站上不要大量使用相同的密码。像这次我们密码泄露的话,可能在别的网站的密码就会被别人猜到。

第二,去访问一些网站的时候,即使是一些比较知名的网站,也不能完全信任,比方说他说要安装一个什么东西的时候。因为每天在中国都会有很多网站被黑客,比如说被黑客挂马,一些网站本身虽然信誉很好,但是他有可能就被别人在里面挂进去病毒,所以你不能信任网站上过来的每一个要求你安装或执行的东西。

第三,在客户端本身,自己在 Windows 上面还是要安装比较合理的一些安全软件。我觉得做到这几点可能就会好很多。

InfoQ:从整体上去考量安全这件事,我觉得这算是这次事件给大家的一个经验教训。除了这点之外,您还有其他建议吗?

马杰:从整体考虑很重要。另外,我们不要把安全责任推到那些本来不应该负责安全的人身上,而是应该让专业的人去做专业的事情。

InfoQ 安全系列—专访韩轶平:整个行业都要提高安全意识

InfoQ 安全系列—专访土豆网技术副总黄冬:后端服务器的隔离非常重要

InfoQ 安全系列—专访友录创始人姜洋,谈移动客户端安全

InfoQ 安全系列—安全问题成为社区热点

2011-12-22 08:052357
用户头像

发布了 479 篇内容, 共 157.3 次阅读, 收获喜欢 49 次。

关注

评论

发布
暂无评论
发现更多内容

Linux之lastlog命令

入门小站

Linux

多线程知识体系01-线程池源码阅读讲解-Executor

小马哥

多线程 高并发 源码阅读 源码剖析 日更

浪潮云说丨上云迁移——快,准,稳!

云计算

从一个并发异常问题引起的想法

卢卡多多

并发编程 9月日更

【Flutter 专题】58 图解 Flutter 嵌入原生 AndroidView 小尝试

阿策小和尚

Flutter 小菜 0 基础学习 Flutter Android 小菜鸟 9月日更

深入分析3种线程池执行任务的逻辑方法

华为云开发者联盟

Java 线程 线程池 ThreadPoolExecutor类

Go 专栏|函数那些事

AlwaysBeta

Go 语言

Go 专栏|错误处理:defer,panic 和 recover

AlwaysBeta

Go 语言

Go 专栏|说说方法

AlwaysBeta

Go 语言

在线JSON转JAVA工具

入门小站

工具

【LeetCode】 二叉树中和为某一值的路径Java题解

Albert

算法 LeetCode 9月日更

架构学习模块一

George

API与ESB 、ServiceMesh、微服务究竟关系如何?

BoCloud博云

云管理

Go 专栏|流程控制,一网打尽

AlwaysBeta

Go 语言

Go 专栏|接口 interface

AlwaysBeta

Go 语言

【报名】飞桨中国行丨企业零门槛AI创新应用-智能制造专场

百度大脑

人工智能

【Vue2.x 源码学习】第四十三篇 - 组件部分 - 组件相关流程总结

Brave

源码 vue2 9月日更

国产接口管理工具APIPOST中的常见设置项

Proud lion

大前端 后端 Postman 开发工具 接口文档

升级mysql-connector-java-8.x踩坑纪实

小江

Java MySQL 时间戳 服务器时区 夏令时

柯基数据通过Rainbond完成云原生改造,实现离线持续交付客户

北京好雨科技有限公司

云原生 需求落地 离线部署 可持续交付

netty系列之:搭建自己的下载文件服务器

程序那些事

Java Netty io nio 程序那些事

就靠这一篇文章,我就弄懂了 Python Django 的 django-admin 命令行工具集

梦想橡皮擦

9月日更

如何设计企业特色的数字化转型架构?

博文视点Broadview

华为云PB级数据库GaussDB(for Redis)揭秘:如何搞定推荐系统存储难题

华为云开发者联盟

数据库 推荐系统 存储 华为云 GaussDB(for Redis)

祝贺 StreamNative 工程师张勇成功跻身 Apache BookKeeper Committer

Apache Pulsar

bookKeeper Apache Pulsar StreamNative

❤️用武侠小说的形式来阅读LinkedList的源码,绝了!

沉默王二

Java

聊聊什么样的代码是可读性强的代码?

卢卡多多

代码质量 代码 9月日更

Go 专栏|复合数据类型:字典 map 和 结构体 struct

AlwaysBeta

Go 语言

模块(二)如何设计架构

我是一只小小鸟

Electron团队为什么要干掉remote模块

刘晓伦

Electron Node

Vue进阶(九十):过滤器

No Silver Bullet

Vue 9月日更

专访安全宝CEO马杰:安全需要做到整条战线的严丝合缝_安全_郑柯_InfoQ精选文章