写点什么

韩轶平:整个行业都要提高安全意识

  • 2011-12-22
  • 本文字数:1478 字

    阅读完需:约 5 分钟

韩轶平是雅虎软件研发(北京)有限公司的高级研发经理,在技术领域的多年积累,让他对本次用户信息泄露的安全事件有自己独特的看法,InfoQ 也就此对他做了专访。

InfoQ:这次多家互联网公司发生的用户信息泄露事件,您觉得发生的原因有哪些?

韩轶平:我觉得最根本的原因还是认识问题,就是说大家在做产品的时候,很注重产品的性能、功能等等,甚至包括利润等等各方面。但是安全,可能多数,或者对很多公司来说,肯定没有放在一个重点上。从根本上来说,我觉得不是技术问题,是一个观念的问题。

InfoQ:大家在观念上还需要把这个更加重视起来?

韩轶平:对,很多企业可能把这些东西都当成次要的方面,而更多考虑的,无论是利润也好、用户也好、流量,等等能产生直接利益的东西,可能把这些间接的东西放在相对次要的地位上。

InfoQ:在面对类似问题的时候,公司应该采取哪些应急措施呢?

韩轶平:从应急措施来讲,今天有人在微博上发贴子说,有些网站去扫描泄露出来的数据,发现用户数据跟自己的用户数据问题,他们就会给用户发通知,说有存在泄露的可能。应急措施对于泄露数据的公司本身来说是要做的,对其他公司来说,被动防御变成主动防御。

InfoQ:您觉得对于前端开发来说最重要的安全考量是哪些呢?是否可以举三个最重要的因素?

韩轶平:有这么几点:第一,要确定用户隐私是什么,哪些是用户隐私数据。这不仅仅是密码这么简单。国际上很多公司,都有一套很完整的、很系统的规则,怎么样去看哪些数据是用户隐私,哪些数据可以公开,哪些不可以公开,哪些必须严格保护,这是第一方面。第二个是防攻击,最典型的例子,存储密码,这是用户隐私的问题,密码是最高级别的东西,不应该明文存储。另一方面,从整个网站的设计也好,产品设计也好,你必须要有相当的防攻击的考虑。第三点就是应急技术,任何时候出现各种问题的时候必须有预案,这点很重要,尤其从产品运营的角度。

InfoQ:对于后端的服务器层面,您觉得最重要的安全考量是什么?

韩轶平:我觉得还是这几点,这也不是一个具体的技术,而是整个安全设计的一个准则。实际上对我们来说,产品的设计理念就是要遵循这几个准则的。我们所有的产品,包括我所管的几个产品线,每一个产品在做的时候,都要做这些工作。我们有专门的法律团队和技术团队,专门帮你 Review 你的产品,哪些数据是公开的,哪些必须保密,然后会做所有技术的 Review,我们这些全部都会做。

InfoQ:您对 InfoQ 的读者有哪些安全方面的建议呢?

韩轶平:我会有一个简单的密码生成算法,基于某个基础密码,然后有些变化规则,不需要特别复杂。我们知道现在的密码攻击大部分都是暴力攻击,然后稍微有一点规则,让密码有些变化,破解的难度会加大很多倍。另外一个就说密码要经常变。

我看很多人在做密码的频率分析,建议读者都可以看一看分析结果,什么样的密码特别多,这种都会成为攻击的对象。我也确实有看到一些微博分析了哪些是最常用的密码。

InfoQ:这次用户信息泄露事件,您觉得大家应该从中吸取哪些经验教训呢?

韩轶平:对这个事件,我最吃惊的,就是波及面应该是有史以来最大的。从第一家开始到现在已经有很多了吧,几乎就是泛滥了。从我来看,这可能是中国互联网历史上最大的灾难之一了。教训就是:整个行业都要提高安全意识。另一方面,希望能看到业界更多的相关安全解决方案。看到有那么多网站都有同样的问题,我确实很吃惊。

InfoQ 安全系列—专访土豆网技术副总黄冬:后端服务器的隔离非常重要

InfoQ 安全系列—专访友录创始人姜洋,谈移动客户端安全

InfoQ 安全系列—专访安全宝 CEO 马杰:安全需要做到整条战线的严丝合缝

InfoQ 安全系列—安全问题成为社区热点

2011-12-22 09:021325
用户头像

发布了 479 篇内容, 共 158.0 次阅读, 收获喜欢 49 次。

关注

评论

发布
暂无评论
发现更多内容

在阿里,我们如何管理测试环境

阿里云云效

阿里云 DevOps 云原生 敏捷开发 研发提效

百度智能云开物再收“一个奖状”

百度大脑

做好云管理一定要云管平台吗?云管理平台应具备什么功能?

行云管家

云服务 云管平台 云资源 云管理

聚焦业务价值:分众传媒在 Serverless 上的探索和实践

Serverless Devs

阿里云 Serverless 运维管理 分众传媒 2月月更

在线脑图思维导图生成工具

入门小站

工具

阿里云服务器搭建halo博客从0到1

乌龟哥哥

阿里云 2月月更 halo博客

巧用这几种文本检索工具,节省80%的时间!

优麒麟

Linux 操作系统 grep 检索 优麒麟

开源最佳实践

LinuxSuRen

开源 最佳实践

[JAVA冷知识]什么是逆变(contravariant)与协变(covariant)?数组支持协变&逆变吗?泛型呢?

山河已无恙

Java 2月月更

设计模式【14】-- 从智能音箱中学习命令模式

秦怀杂货店

Java 设计模式

Springboot中,如何读取配置文件中的属性

华为云开发者联盟

数据库 springboot 映射 配置文件

SENSORO基于TDengine助力基层政府打造数字化应用标杆

TDengine

数据库 tdengine 开源 物联网

程序员必知的8个Java开源IDE工具

编程江湖

ide

美景本天成,妙笔偶得之——“妙笔”是怎样炼成的?

百度大脑

等保级别最高为几级?市面上常见吗?

行云管家

网络安全 等保 等级保护 过等保

大数据培训:Hadoop HDFS 实现原理

@零度

hadoop 大数据开发

Apsara Stack 技术百科 | 可运营的行业云,让云上资源跑起来

阿里云 科技 混合云

加入科学计算SIG,挑战最前沿的AI+Science研发与创新

百度大脑

PingCode Wiki 权限设计之ACL

阿杰

权限系统 权限控制 acl 权限设计

这个Dubbo注册中心扩展,有点意思

捉虫大师

dubbo 注册中心

Worktile 权限设计

阿杰

权限控制 rbac 权限设计

一文详解Kafka API

华为云开发者联盟

kafka API 拦截器 Consumer API Producer API

上市商业银行推进智慧银行建设,全方位赋能零售业务数字化转型

易观分析

商业银行 智慧银行

Client-go源码分析之SharedInformer及实战| 社区征文

雪雷

Kubernetes Informer 新春征文

语义级代码克隆检测数据集的评估与改进

华为云开发者联盟

软件工程 代码克隆检测 代码克隆 语义代码克隆 BigCloneBench

netty系列之:channel,ServerChannel和netty中的实现

程序那些事

Java Netty nio 程序那些事 2月月更

天数智芯携手龙蜥社区,以高性能算力助力开源发展

OpenAnolis小助手

Linux 开源 芯片

Hango Rider:网易数帆开源 Envoy 企业级自定义扩展框架

网易数帆

开源 云原生 envoy Hango Rider

你会写java脚本吗?-JShell

蜜糖的代码注释

Java 后端开发 2月月更

Linux中Shell重定向

入门小站

Linux

前端培训:3 个可能有用JavaScript 类

@零度

JavaScript 前端开发

韩轶平:整个行业都要提高安全意识_安全_郑柯_InfoQ精选文章