写点什么

又拍云沈志华:如何打造一款安全的 App

  • 2016-11-14
  • 本文字数:2538 字

    阅读完需:约 8 分钟

8 月 23 日,网易易盾发起的国内首个互联网内容安全联盟在杭州成立,又拍云作为该联盟的首批成员单位出席了成立仪式。又拍云 COO 沈志华在成立仪式上发表了精彩的演讲,并接受了媒体专访。

沈志华在演讲中详解了移动互联网时代的系统安全,介绍了又拍云在 Https 加密传输、HTTPDNS 防劫持方面的经验。

针对存在于整个互联网中的信息安全,沈志华认为“互联网内容安全联盟”的成立能够在净化互联网环境方面起到关键作用。在演讲和媒体专访当中,沈志华认为联盟成立有几个意义:

  • 技术上可以互通,联盟内的每家公司不必要重复招人研发;
  • 联盟成员在信息安全方面各有各的经验,能够在技术之外输出管理经验;
  • 实现信息安全能力包括基础服务的共享;
  • 大大减轻创业团队在信息安全方面的压力。

以下是沈志华的演讲全文:

今天很高兴在这里跟大家聊一下,在企业的发展过程中,怎么能够打造一款非常安全的 App。

如今中国的网民数量在今年已经超过人口的 50%,有一半以上的中国人在上网。更恐怖的是,网民里面有 90% 以上已经是手机网民,相当于 100 个网民里有 90 多个会通过手机上网。近几年手机发展速度快,在安全上也出现了非常大的问题,一些专注于手机 App 开发的程序员可能跟原来 PC 端程序员不一样,可能更关注于应用,在安全上面相对来说忽视一点。

这里谈一下手机的发展,我们在 2000 年左右用的基本上是传统手机,2003 年开始萌芽智能机,到了 2007 年苹果第一款 iPhone 发布的时候,引进了一个多点触摸屏的技术,在这个技术之前,我们有智能手机,但是智能手机用得非常不便,要不是用键盘,要不是非常不方便使用的触摸屏,可能要多点几下才能成功,所以苹果第一款 iPhone 发布的时候,大家还是蛮震惊的,特别是它的触摸屏技术非常灵活,灵活到你可以打游戏。所以 iOS、Android 为主的手机操作系统,将互联网的使用体验从传统的互联网瞬间移到了移动互联网上来了。

随之而来,智能手机暴露出了各种安全的问题:一个是系统安全,一个是内容安全。对于系统安全来讲,有信息泄露、信息窃取等问题,还有漏洞、攻击之类的。另外一个我们非常关注的,近几年反映比较多的是内容安全,内容安全包括一些垃圾信息,包括一些色情、暴力,还有一些是信息安全方面的东西。

详解移动互联网的系统安全

系统安全,我们常见的有以下几种:

  • 恶意 App、木马 App
  • 中间人攻击
  • 数据安全(信息泄露、窃取等)、劫持

一旦手机甚至手机里的 App 被种病毒了,它会想方设法调用你的通讯录,在通讯录里面群发引导性的文字让别人去下载,下载以后使手机中病毒。中了这个病毒以后,它会干什么事情呢?那就是非常恐怖了,中了这种木马 App 后,你的 GPS 信息、通讯录,还有手机里的照片、视频都会被他读取,你不知道他会传到哪里去、有什么用途,这块的安全问题非常泛滥。

第二个是中间人攻击。比如你在玩游戏的时候,跳出一个广告或者一个链接,让你去买东西或者是观看其他的内容,这个信息可能不是网站发给你的,而是一个中间人窃取了你的信息,窃取了你在传输过程中的协议,然后他在中间夺过来。比如你在访问网页的时候,突然跳出来一个广告,有可能是一个中间人在上面投放上去的。

最后是刚才谈到的,数据安全问题。互联网上各种数据的传播,绝大多数是基于 HTTP,HTTP 有一个致命的弱点——原文传输。打个比方,我有一张白纸上面有帐号、密码,我委托一个人到什么地方来取点什么内容来,看到这张纸的人是不是都能知道我的帐号密码,是不是都可以去那个地方拿东西?确实如此,你看起来是互联网好像很复杂,但实际上他的 HTTP 的传输就是一张白纸,任何的操作、密码,只要有一个中间人在你经过的路上看着,那你的帐号、密码,包括其他的信息都有可能泄露,都可以插入一些虚假的东西。

怎么解决信息泄露、篡改的风险呢?主要是一个 HTTPS 防范技术。去年开始,百度、阿里基本上已经使用全网 HTTPS 的功能。这里打个小广告,又拍云一直都在推广 HTTPS,花了大量的功夫,又拍云的 HTTPS 平台是国内第一家能够全自动配置 HTTPS 证书的平台,能够很方便地把你的 Http 在 5 分钟内转化成加密的 HTTPS。到 2017 年 1 月份,苹果 iOS 上的 App 已经不允许 HTTPS 传输了,必须要 App 内的 HTTP 转化成 HTTPS 以后,才能上传到 AppStore。所以说,苹果在信息安全这一块下了比较大的功夫。

另外还需要谈一下 HTTPDNS,刚才我们还说到了劫持,这个是很多人喜欢干的事情。你来访问某个网站,帮你做域名解析,但解析到你的目标服务器之外的一台服务器,再给你在里面加点什么东西,推广告也好,推广一些诈骗的东西也好。劫持这块形成了一个黑产业,有非常大的利益驱动在那里,所以才衍生出来很多的劫持事件。介绍一下又拍云怎么防范 DNS 劫持,我们有一个 HTTPDNS,绕开传统的 DNS 解析,用一个全新的 DNS 解析工具;既然域名不需要到别人那里去解析,自然也不会被劫持。

帮创业公司卸下信息安全带来的压力

互联网安全还包括影响更大的信息安全,从互联网诞生到现在,信息安全一直困扰着很多的网站,包括垃圾信息、色情信息、非法信息。尤其是在国内,非法信息猖獗到了非常高的高度,大家都应该懂的。在信息安全这一块上,国家有一定的要求,比如要求每家互联网公司成立信息安全小组,并且这个小组必须要有 C-level 的人带头,要有 7×24 小时的机制,要保证发布的信息通过了公司的审核以后才进行发布,是先审后发。

刚刚周总(指网易易盾总经理周森)也谈到,我们现在内容主要包括文字、图片、视频等。在以前相对来说还好一点,至少后台把不允许出现的信息都禁掉。现在又发展了直播,直播的很多的内容就不存储了,直接是从主播到观众,在直播的过程中做一些技术上的鉴别工作,对技术的挑战性更大。

信息安全这个东西,对于很多的创业公司来说是个很大的挑战,又要发展得快,又要保证信息的安全,创业公司在两方面同时要消耗大量的精力。土豆刚成立的时候,它在杭州清泰街那边弄了个 200 人的团队专门看视频,这些视频五花八门,有的看似正常,是一部动画片,但是里面的文字是宣传邪教的,所以创业公司在信息安全方面的投入也是非常大的。

网易易盾发起成立“互联网内容安全联盟”,能够输出这么多的应用能力,降低很多创业者在创业过程中在信息安全方面的投入精力,我觉得是非常好的事情,应该说对整个行业都有非常好的正向意义。

2016-11-14 04:401520

评论

发布
暂无评论
发现更多内容

邀您参与 “直通乌镇” Spring AI Alibaba 开源竞技挑战赛!

阿里巴巴云原生

阿里云 云原生 Spring AI Alibabab

运维提效技巧:用标签给资源 “归类”,关联告警模版省心又省力

华为云开发者联盟

VectorDB+FastGPT一站式构建:智能知识库与企业级对话系统实战

科技热闻

谷歌全面推进 Photo Picker,安卓隐私权限进入新阶段

科技热闻

CAD中如何修改图层的颜色、线型和线宽?

在路上

cad CAD看图王

Apache RocketMQ EventBridge:为什么 GenAI 需要 EDA?

阿里巴巴云原生

阿里云 云原生 Apache RocketMQ EventBridge

基于某中心Bedrock的提示工程在合规检测中的应用

qife122

生成式AI 提示工程

穿越回1995?利用Microsoft 365直送功能发起钓鱼攻击的技术分析

qife122

网络安全 Microsoft 365

Apache DolphinScheduler 7 月社区月报 | 关键修复与性能优化全面推进

白鲸开源

Java 大数据 开源 大数据任务调度 Apache DolphinScheduler

巅峰对决!PAC 2025全国总决赛终极之战—— 谁将问鼎冠军宝座?

科技热闻

邀请函|2025 Altair 教育赋能:诚邀各大高校共建产品创新设计核心课程《面向3D打印的结构优化与创新设计》

Altair RapidMiner

机器学习 AI 仿真 建模 CAE

SeaTunnel MCP Server 入选《中国信通院开源商业产品及企业典型案例集(2025)》

白鲸开源

AI 开源商业化 Apache SeaTunnel 白鲸开源 MCP Server

为什么你拿捏不住客户的“真”需求?

IPD产品研发管理

产品 产品经理 产品设计 需求 软件研发

融云IM、网易云信IM等39款即时通讯SDK适配鸿蒙5,社交协作更高效

新消费日报

观测云接收 OpenTelemetry Collector 数据最佳实践

观测云

OpenTelemetry

监控系统如何选型:Zabbix vs Prometheus

巴辉特

Prometheus zabbix

硬件成本降52%,快钱支付引入OceanBase后的降本增效

老纪的技术唠嗑局

数据库设计 OceanBase 开源

计算机视觉前沿:自监督学习与高效学习挑战

qife122

计算机视觉 自监督学习

4个月、2个人、1个霸榜的开源项目 !这位98年的校招生做到了!

京东零售技术

荣耀应用市场直投下载功能开放丨开发加油站

荣耀开发者服务平台

下载 荣耀开发者服务平台 应用市场 荣耀HONOR 荣耀应用市场

INTERSPEECH 2025 | 数据堂诚邀您参加MLC-SLM挑战赛暨研讨会

数据堂

人工智能 Interspeech2025 语音研究

深度学习在计算机视觉领域的现状与未来

qife122

深度学习 CVPR

低代码平台赋能高校学生,构建职业能力与企业需求的动态适配

中烟创新

主流内网穿透方案横评对比,远程访问NAS用哪种?

科技热闻

云监控(CES)2025年7月全新升级

华为云开发者联盟

Text2SQL准确率暴涨22.6%!3大维度全拆

京东零售技术

【8.14 直播】快速上手 IoTDB 官方可视化工具 Workbench

Apache IoTDB

具身智能竞速时刻,百度百舸提供全栈加速方案

科技热闻

从数据血缘到AI Agent:天翼云 × DolphinScheduler 的云上调度新篇章

白鲸开源

大数据 开源 Apache DolphinScheduler 用户案例 天翼云

用好CAD图层特性管理器,绘图更高效!

在路上

cad cad看图 CAD看图王

全球社交媒体监控如何帮助政府把握国际舆论脉搏?

沃观Wovision

海外舆情监控 沃观Wovision 舆情监测系统

又拍云沈志华:如何打造一款安全的App_音视频(后端)_沈志华_InfoQ精选文章