写点什么

韩轶平:整个行业都要提高安全意识

  • 2011-12-22
  • 本文字数:1478 字

    阅读完需:约 5 分钟

韩轶平是雅虎软件研发(北京)有限公司的高级研发经理,在技术领域的多年积累,让他对本次用户信息泄露的安全事件有自己独特的看法,InfoQ 也就此对他做了专访。

InfoQ:这次多家互联网公司发生的用户信息泄露事件,您觉得发生的原因有哪些?

韩轶平:我觉得最根本的原因还是认识问题,就是说大家在做产品的时候,很注重产品的性能、功能等等,甚至包括利润等等各方面。但是安全,可能多数,或者对很多公司来说,肯定没有放在一个重点上。从根本上来说,我觉得不是技术问题,是一个观念的问题。

InfoQ:大家在观念上还需要把这个更加重视起来?

韩轶平:对,很多企业可能把这些东西都当成次要的方面,而更多考虑的,无论是利润也好、用户也好、流量,等等能产生直接利益的东西,可能把这些间接的东西放在相对次要的地位上。

InfoQ:在面对类似问题的时候,公司应该采取哪些应急措施呢?

韩轶平:从应急措施来讲,今天有人在微博上发贴子说,有些网站去扫描泄露出来的数据,发现用户数据跟自己的用户数据问题,他们就会给用户发通知,说有存在泄露的可能。应急措施对于泄露数据的公司本身来说是要做的,对其他公司来说,被动防御变成主动防御。

InfoQ:您觉得对于前端开发来说最重要的安全考量是哪些呢?是否可以举三个最重要的因素?

韩轶平:有这么几点:第一,要确定用户隐私是什么,哪些是用户隐私数据。这不仅仅是密码这么简单。国际上很多公司,都有一套很完整的、很系统的规则,怎么样去看哪些数据是用户隐私,哪些数据可以公开,哪些不可以公开,哪些必须严格保护,这是第一方面。第二个是防攻击,最典型的例子,存储密码,这是用户隐私的问题,密码是最高级别的东西,不应该明文存储。另一方面,从整个网站的设计也好,产品设计也好,你必须要有相当的防攻击的考虑。第三点就是应急技术,任何时候出现各种问题的时候必须有预案,这点很重要,尤其从产品运营的角度。

InfoQ:对于后端的服务器层面,您觉得最重要的安全考量是什么?

韩轶平:我觉得还是这几点,这也不是一个具体的技术,而是整个安全设计的一个准则。实际上对我们来说,产品的设计理念就是要遵循这几个准则的。我们所有的产品,包括我所管的几个产品线,每一个产品在做的时候,都要做这些工作。我们有专门的法律团队和技术团队,专门帮你 Review 你的产品,哪些数据是公开的,哪些必须保密,然后会做所有技术的 Review,我们这些全部都会做。

InfoQ:您对 InfoQ 的读者有哪些安全方面的建议呢?

韩轶平:我会有一个简单的密码生成算法,基于某个基础密码,然后有些变化规则,不需要特别复杂。我们知道现在的密码攻击大部分都是暴力攻击,然后稍微有一点规则,让密码有些变化,破解的难度会加大很多倍。另外一个就说密码要经常变。

我看很多人在做密码的频率分析,建议读者都可以看一看分析结果,什么样的密码特别多,这种都会成为攻击的对象。我也确实有看到一些微博分析了哪些是最常用的密码。

InfoQ:这次用户信息泄露事件,您觉得大家应该从中吸取哪些经验教训呢?

韩轶平:对这个事件,我最吃惊的,就是波及面应该是有史以来最大的。从第一家开始到现在已经有很多了吧,几乎就是泛滥了。从我来看,这可能是中国互联网历史上最大的灾难之一了。教训就是:整个行业都要提高安全意识。另一方面,希望能看到业界更多的相关安全解决方案。看到有那么多网站都有同样的问题,我确实很吃惊。

InfoQ 安全系列—专访土豆网技术副总黄冬:后端服务器的隔离非常重要

InfoQ 安全系列—专访友录创始人姜洋,谈移动客户端安全

InfoQ 安全系列—专访安全宝 CEO 马杰:安全需要做到整条战线的严丝合缝

InfoQ 安全系列—安全问题成为社区热点

2011-12-22 09:021314
用户头像

发布了 479 篇内容, 共 157.2 次阅读, 收获喜欢 49 次。

关注

评论

发布
暂无评论
发现更多内容

css高度坍塌与清除浮动

依旧廖凯

28天写作 3月日更

Python 日期格式和时间以及当前时间和时间戳

HoneyMoose

2021字节面经最新整理: 面试真经/思维导图/学习笔记!火遍全网

比伯

Java 编程 架构 面试 计算机

寻找被遗忘的勇气(十三)

Changing Lin

3月日更

阿里Java岗个人面经分享(技术三面+技术HR面):Java基础+Spring+JVM+并发编程+算法+缓存

Java架构之路

Java 程序员 架构 面试 编程语言

对话微众和红枣:预言机是区块链提供可信数据的基础设施

CECBC

区块链

资深大牛带你了解源码!最详细的docker中安装并配置redis,实战解析

欢喜学安卓

android 程序员 面试 移动开发

太简单了!看完这篇还能不会SpringCloud+Nginx高并发?

Java架构追梦

Java nginx 架构 面试 SpringCloud

《经济学人》2021年3月13日刊精彩文章导读及资源免费下载

wbliu85

【LeetCode】设计哈希集合Java题解

Albert

算法 LeetCode 28天写作 3月日更

资深大牛带你了解源码!面试题解析已整理成文档,已拿offer

欢喜学安卓

android 程序员 面试 移动开发

Day01:VBA和Python入门

披头

办公自动化 IT蜗壳教学 数据科学探究

谈产品和创业方向

Ryan Zheng

创业 产品

你最喜欢的奥斯卡电影是哪部?

wbliu85

MySQL主从复制机制

luojiahu

MySQL 主从复制

滚雪球学 Python 之怎么玩转时间和日期库

梦想橡皮擦

28天写作 3月日更

浅谈数仓、数仓模型分层

白程序员的自习室

大数据 解决方案 通用设计模型 数仓

种春草肥禾,织数字天下

脑极体

微服务学习笔记

lenka

3月日更

进入大厂的简历应该是什么样子

我是程序员小贱

3月日更

[转]html5设计原理

小江

Zookeeper.01 - 简介

insight

zookeeper 3月日更

算法攻关 - 重上到下打印二叉树 (O(n))_offer32

小诚信驿站

刘晓成 小诚信驿站 28天写作 算法攻关 从上到下打印二叉树

Elasticsearch 近实时搜索 Near Real-Time Search

escray

elastic 28天写作 死磕Elasticsearch 60天通过Elastic认证考试 3月日更

熟练使用SSH客户端常用工具SecureCRT

xiezhr

Linux SSH securecrt SSH工具

代码审查:从 ArrayList 说线程安全

mzlogin

Java 代码审查

如何实现可靠UDP传输

赖猫

计算机网络 udp TCP/IP

美团工作7年,精华全在这份学习笔记里了,已成功帮助多位朋友拿到5个大厂Offer

Java架构之路

Java 程序员 架构 面试 编程语言

万事开头难——人为推进效应

Justin

心理学 28天写作 游戏设计

net.coobird.thumbnailator.tasks.UnsupportedFormatException: No suitable ImageReader found for source data.

wjchenge

说说RPC架构

Kylin

读书笔记 3月日更 日常积累 RPC架构

韩轶平:整个行业都要提高安全意识_安全_郑柯_InfoQ精选文章