韩轶平：整个行业都要提高安全意识

韩轶平是雅虎软件研发（北京）有限公司的高级研发经理，在技术领域的多年积累，让他对本次用户信息泄露的安全事件有自己独特的看法，InfoQ 也就此对他做了专访。

InfoQ：这次多家互联网公司发生的用户信息泄露事件，您觉得发生的原因有哪些？

韩轶平：我觉得最根本的原因还是认识问题，就是说大家在做产品的时候，很注重产品的性能、功能等等，甚至包括利润等等各方面。但是安全，可能多数，或者对很多公司来说，肯定没有放在一个重点上。从根本上来说，我觉得不是技术问题，是一个观念的问题。

InfoQ：大家在观念上还需要把这个更加重视起来？

韩轶平：对，很多企业可能把这些东西都当成次要的方面，而更多考虑的，无论是利润也好、用户也好、流量，等等能产生直接利益的东西，可能把这些间接的东西放在相对次要的地位上。

InfoQ：在面对类似问题的时候，公司应该采取哪些应急措施呢？

韩轶平：从应急措施来讲，今天有人在微博上发贴子说，有些网站去扫描泄露出来的数据，发现用户数据跟自己的用户数据问题，他们就会给用户发通知，说有存在泄露的可能。应急措施对于泄露数据的公司本身来说是要做的，对其他公司来说，被动防御变成主动防御。

InfoQ：您觉得对于前端开发来说最重要的安全考量是哪些呢？是否可以举三个最重要的因素？

韩轶平：有这么几点：第一，要确定用户隐私是什么，哪些是用户隐私数据。这不仅仅是密码这么简单。国际上很多公司，都有一套很完整的、很系统的规则，怎么样去看哪些数据是用户隐私，哪些数据可以公开，哪些不可以公开，哪些必须严格保护，这是第一方面。第二个是防攻击，最典型的例子，存储密码，这是用户隐私的问题，密码是最高级别的东西，不应该明文存储。另一方面，从整个网站的设计也好，产品设计也好，你必须要有相当的防攻击的考虑。第三点就是应急技术，任何时候出现各种问题的时候必须有预案，这点很重要，尤其从产品运营的角度。

InfoQ：对于后端的服务器层面，您觉得最重要的安全考量是什么？

韩轶平：我觉得还是这几点，这也不是一个具体的技术，而是整个安全设计的一个准则。实际上对我们来说，产品的设计理念就是要遵循这几个准则的。我们所有的产品，包括我所管的几个产品线，每一个产品在做的时候，都要做这些工作。我们有专门的法律团队和技术团队，专门帮你 Review 你的产品，哪些数据是公开的，哪些必须保密，然后会做所有技术的 Review，我们这些全部都会做。

InfoQ：您对 InfoQ 的读者有哪些安全方面的建议呢？

韩轶平：我会有一个简单的密码生成算法，基于某个基础密码，然后有些变化规则，不需要特别复杂。我们知道现在的密码攻击大部分都是暴力攻击，然后稍微有一点规则，让密码有些变化，破解的难度会加大很多倍。另外一个就说密码要经常变。

我看很多人在做密码的频率分析，建议读者都可以看一看分析结果，什么样的密码特别多，这种都会成为攻击的对象。我也确实有看到一些微博分析了哪些是最常用的密码。

InfoQ：这次用户信息泄露事件，您觉得大家应该从中吸取哪些经验教训呢？

韩轶平：对这个事件，我最吃惊的，就是波及面应该是有史以来最大的。从第一家开始到现在已经有很多了吧，几乎就是泛滥了。从我来看，这可能是中国互联网历史上最大的灾难之一了。教训就是：整个行业都要提高安全意识。另一方面，希望能看到业界更多的相关安全解决方案。看到有那么多网站都有同样的问题，我确实很吃惊。

InfoQ 安全系列—专访土豆网技术副总黄冬：后端服务器的隔离非常重要

InfoQ 安全系列—专访友录创始人姜洋，谈移动客户端安全

InfoQ 安全系列—专访安全宝 CEO 马杰：安全需要做到整条战线的严丝合缝

InfoQ 安全系列—安全问题成为社区热点