50万奖金+官方证书,深圳国际金融科技大赛正式启动,点击报名 了解详情
写点什么

韩轶平:整个行业都要提高安全意识

  • 2011-12-22
  • 本文字数:1478 字

    阅读完需:约 5 分钟

韩轶平是雅虎软件研发(北京)有限公司的高级研发经理,在技术领域的多年积累,让他对本次用户信息泄露的安全事件有自己独特的看法,InfoQ 也就此对他做了专访。

InfoQ:这次多家互联网公司发生的用户信息泄露事件,您觉得发生的原因有哪些?

韩轶平:我觉得最根本的原因还是认识问题,就是说大家在做产品的时候,很注重产品的性能、功能等等,甚至包括利润等等各方面。但是安全,可能多数,或者对很多公司来说,肯定没有放在一个重点上。从根本上来说,我觉得不是技术问题,是一个观念的问题。

InfoQ:大家在观念上还需要把这个更加重视起来?

韩轶平:对,很多企业可能把这些东西都当成次要的方面,而更多考虑的,无论是利润也好、用户也好、流量,等等能产生直接利益的东西,可能把这些间接的东西放在相对次要的地位上。

InfoQ:在面对类似问题的时候,公司应该采取哪些应急措施呢?

韩轶平:从应急措施来讲,今天有人在微博上发贴子说,有些网站去扫描泄露出来的数据,发现用户数据跟自己的用户数据问题,他们就会给用户发通知,说有存在泄露的可能。应急措施对于泄露数据的公司本身来说是要做的,对其他公司来说,被动防御变成主动防御。

InfoQ:您觉得对于前端开发来说最重要的安全考量是哪些呢?是否可以举三个最重要的因素?

韩轶平:有这么几点:第一,要确定用户隐私是什么,哪些是用户隐私数据。这不仅仅是密码这么简单。国际上很多公司,都有一套很完整的、很系统的规则,怎么样去看哪些数据是用户隐私,哪些数据可以公开,哪些不可以公开,哪些必须严格保护,这是第一方面。第二个是防攻击,最典型的例子,存储密码,这是用户隐私的问题,密码是最高级别的东西,不应该明文存储。另一方面,从整个网站的设计也好,产品设计也好,你必须要有相当的防攻击的考虑。第三点就是应急技术,任何时候出现各种问题的时候必须有预案,这点很重要,尤其从产品运营的角度。

InfoQ:对于后端的服务器层面,您觉得最重要的安全考量是什么?

韩轶平:我觉得还是这几点,这也不是一个具体的技术,而是整个安全设计的一个准则。实际上对我们来说,产品的设计理念就是要遵循这几个准则的。我们所有的产品,包括我所管的几个产品线,每一个产品在做的时候,都要做这些工作。我们有专门的法律团队和技术团队,专门帮你 Review 你的产品,哪些数据是公开的,哪些必须保密,然后会做所有技术的 Review,我们这些全部都会做。

InfoQ:您对 InfoQ 的读者有哪些安全方面的建议呢?

韩轶平:我会有一个简单的密码生成算法,基于某个基础密码,然后有些变化规则,不需要特别复杂。我们知道现在的密码攻击大部分都是暴力攻击,然后稍微有一点规则,让密码有些变化,破解的难度会加大很多倍。另外一个就说密码要经常变。

我看很多人在做密码的频率分析,建议读者都可以看一看分析结果,什么样的密码特别多,这种都会成为攻击的对象。我也确实有看到一些微博分析了哪些是最常用的密码。

InfoQ:这次用户信息泄露事件,您觉得大家应该从中吸取哪些经验教训呢?

韩轶平:对这个事件,我最吃惊的,就是波及面应该是有史以来最大的。从第一家开始到现在已经有很多了吧,几乎就是泛滥了。从我来看,这可能是中国互联网历史上最大的灾难之一了。教训就是:整个行业都要提高安全意识。另一方面,希望能看到业界更多的相关安全解决方案。看到有那么多网站都有同样的问题,我确实很吃惊。

InfoQ 安全系列—专访土豆网技术副总黄冬:后端服务器的隔离非常重要

InfoQ 安全系列—专访友录创始人姜洋,谈移动客户端安全

InfoQ 安全系列—专访安全宝 CEO 马杰:安全需要做到整条战线的严丝合缝

InfoQ 安全系列—安全问题成为社区热点

2011-12-22 09:021722
用户头像

发布了 479 篇内容, 共 178.3 次阅读, 收获喜欢 53 次。

关注

评论

发布
暂无评论
发现更多内容

InfoQ写作平台首秀,来个自我介绍

nuhcoad

个人感想

多云的一点思考

HU

韦小宝真的幸福吗 | Random Forest

张利东

Python 学习

程序员陪娃漫画系列——魔方

孙苏勇

程序员 生活 陪伴 漫画

即将步入职场,忐忑而又期待的新人菜鸟

菜农阿飞

成长 新人

如何优雅滴在手机上跑Python代码

wangkx

Python 移动应用 手机编程

学习来应对创业的未知

Neco.W

创业 重新理解创业

MySQL中order by语句的实现原理以及优化手段

天堂

Java MySQL 性能优化

DDD 实践手册(2. 实现分层架构)

Joshua

设计模式 领域驱动设计 DDD 系统架构 分层架构

MySQL的死锁系列- 锁的类型以及加锁原理

程序员历小冰

MySQL

阿里巴巴Java开发手册泰山版解读

Bruce Duan

KubeFATE: 用云原生技术赋能联邦学习(一)

亨利笔记

人工智能 学习 FATE KUBEFATE

南丁格尔科普

小匚

消息队列Kafka - acks参数

Java收录阁

kafka

为什么正在使用的Java版本跟环境变量的版本不一致

阡陌r

Java 踩坑

浅析 Cocoapods-Packager 实现

Edmond

ruby ios CocoaPods binary packager

怎样算是一个好的开发者?

水滴

开发者

经济大萧条对我的启示

Neco.W

创业 自我管理 职场 自我提升

HashMap 的 7 种遍历方式与性能分析

Bruce Duan

Java 性能 hashmap 遍历

说出来就不灵啦

伯薇

糊涂 活在当下 享受状态 生活状态 观察者

Netty 源码解析(四): Netty 的 ChannelPipeline

猿灯塔

游戏夜读 | 2020周记(3.27-4.3)

game1night

使用 jsDelivr 免费加速 GitHub Pages 博客的静态资源

mzlogin

CDN Jekyll GitHub Pages 个人博客

神经网络的激活函数为什么要使用非线性函数

wangkx

神经网络 激活函数

从数据闭环谈微服务拆分

松花皮蛋me

微服务

把成功过成自己的生活

子铭

成功学 生活状态

死磕Java并发编程(7):读写锁 ReentrantReadWriteLock 源码解析

Seven七哥

Java并发 读写锁 ReentrantReadWriteLock

高仿瑞幸小程序 00 准备工作

曾伟@喵先森

小程序 微信小程序 大前端 瑞幸

关于5G RCS的产品猜想

机器鸟

Day 47|Week 07-5 曾国藩家书|问学篇-学问何处何时都可做

熊小北同学

Java并发编程系列——锁

孙苏勇

Java Java并发 并发编程 多线程

韩轶平:整个行业都要提高安全意识_安全_郑柯_InfoQ精选文章