写点什么

韩轶平:整个行业都要提高安全意识

  • 2011-12-22
  • 本文字数:1478 字

    阅读完需:约 5 分钟

韩轶平是雅虎软件研发(北京)有限公司的高级研发经理,在技术领域的多年积累,让他对本次用户信息泄露的安全事件有自己独特的看法,InfoQ 也就此对他做了专访。

InfoQ:这次多家互联网公司发生的用户信息泄露事件,您觉得发生的原因有哪些?

韩轶平:我觉得最根本的原因还是认识问题,就是说大家在做产品的时候,很注重产品的性能、功能等等,甚至包括利润等等各方面。但是安全,可能多数,或者对很多公司来说,肯定没有放在一个重点上。从根本上来说,我觉得不是技术问题,是一个观念的问题。

InfoQ:大家在观念上还需要把这个更加重视起来?

韩轶平:对,很多企业可能把这些东西都当成次要的方面,而更多考虑的,无论是利润也好、用户也好、流量,等等能产生直接利益的东西,可能把这些间接的东西放在相对次要的地位上。

InfoQ:在面对类似问题的时候,公司应该采取哪些应急措施呢?

韩轶平:从应急措施来讲,今天有人在微博上发贴子说,有些网站去扫描泄露出来的数据,发现用户数据跟自己的用户数据问题,他们就会给用户发通知,说有存在泄露的可能。应急措施对于泄露数据的公司本身来说是要做的,对其他公司来说,被动防御变成主动防御。

InfoQ:您觉得对于前端开发来说最重要的安全考量是哪些呢?是否可以举三个最重要的因素?

韩轶平:有这么几点:第一,要确定用户隐私是什么,哪些是用户隐私数据。这不仅仅是密码这么简单。国际上很多公司,都有一套很完整的、很系统的规则,怎么样去看哪些数据是用户隐私,哪些数据可以公开,哪些不可以公开,哪些必须严格保护,这是第一方面。第二个是防攻击,最典型的例子,存储密码,这是用户隐私的问题,密码是最高级别的东西,不应该明文存储。另一方面,从整个网站的设计也好,产品设计也好,你必须要有相当的防攻击的考虑。第三点就是应急技术,任何时候出现各种问题的时候必须有预案,这点很重要,尤其从产品运营的角度。

InfoQ:对于后端的服务器层面,您觉得最重要的安全考量是什么?

韩轶平:我觉得还是这几点,这也不是一个具体的技术,而是整个安全设计的一个准则。实际上对我们来说,产品的设计理念就是要遵循这几个准则的。我们所有的产品,包括我所管的几个产品线,每一个产品在做的时候,都要做这些工作。我们有专门的法律团队和技术团队,专门帮你 Review 你的产品,哪些数据是公开的,哪些必须保密,然后会做所有技术的 Review,我们这些全部都会做。

InfoQ:您对 InfoQ 的读者有哪些安全方面的建议呢?

韩轶平:我会有一个简单的密码生成算法,基于某个基础密码,然后有些变化规则,不需要特别复杂。我们知道现在的密码攻击大部分都是暴力攻击,然后稍微有一点规则,让密码有些变化,破解的难度会加大很多倍。另外一个就说密码要经常变。

我看很多人在做密码的频率分析,建议读者都可以看一看分析结果,什么样的密码特别多,这种都会成为攻击的对象。我也确实有看到一些微博分析了哪些是最常用的密码。

InfoQ:这次用户信息泄露事件,您觉得大家应该从中吸取哪些经验教训呢?

韩轶平:对这个事件,我最吃惊的,就是波及面应该是有史以来最大的。从第一家开始到现在已经有很多了吧,几乎就是泛滥了。从我来看,这可能是中国互联网历史上最大的灾难之一了。教训就是:整个行业都要提高安全意识。另一方面,希望能看到业界更多的相关安全解决方案。看到有那么多网站都有同样的问题,我确实很吃惊。

InfoQ 安全系列—专访土豆网技术副总黄冬:后端服务器的隔离非常重要

InfoQ 安全系列—专访友录创始人姜洋,谈移动客户端安全

InfoQ 安全系列—专访安全宝 CEO 马杰:安全需要做到整条战线的严丝合缝

InfoQ 安全系列—安全问题成为社区热点

2011-12-22 09:021594
用户头像

发布了 479 篇内容, 共 171.7 次阅读, 收获喜欢 52 次。

关注

评论

发布
暂无评论
发现更多内容

金三银四跳槽涨薪Java面试题!568页真题+答案解析,大厂都在考

Summer

Java 程序员 面试 架构师 大厂

虾皮店铺商品API接口的开发、运用与收益

科普小能手

数据挖掘 数据分析 跨境电商 API接口 虾皮API接口

tuxera破解版 tuxera安装教程 Tuxera怎么用 tuxera激活码

阿拉灯神丁

Tuxera NTFS2023 NTFS磁盘管理器 Tuxera NTFS教程 Mac磁盘管理

crossover怎么打开软件 mac怎么下载steam crossover下载的软件怎么运行

阿拉灯神丁

steam Mac软件 苹果电脑 CrossOver Mac下载 好玩的游戏推荐

VMware ESXi 8.0U3c macOS Unlocker & OEM BIOS 标准版和厂商定制版,已适配主流品牌服务器

sysin

esxi

具身智能陪伴机器人赛道,迎来一波融资潮和创业潮!

机器人头条

机器人 科技 人形机器人 具身智能

记录懒猫微服使用

玄兴梦影

私有云 NAS 云电脑 #NUC 懒猫微服

鸿蒙元服务实战-笑笑五子棋(1)

万少

鸿蒙 元服务

鸿蒙元服务实战-笑笑五子棋(2)

万少

鸿蒙 canvas

三面滴滴失败,总结了Java面试题,有几个题还是一直搞不懂

Summer

Java 程序员 面试 架构师 大厂

《计算机组成及汇编语言原理》阅读笔记:p200-p240

codists

Java 计算机组成及汇编语言原理

2025-01-04:不包含相邻元素的子序列的最大和。用go语言,给定一个整数数组 nums 和一个由二维数组 queries 组成的查询列表,其中每个查询的格式为 queries[i] = [pos

福大大架构师每日一题

福大大架构师每日一题

数据平台产品经理入门手册-合集

数据小吏

大数据平台 #数据产品经理

ATFX 2024年度回顾:扩展、创新与全球领导力的一年

财见

我的 2024 盘点来了 | 愿你我闯过人生的每一道关

码哥字节

2024总结

Mac如何读取移动硬盘数据?苹果电脑无法读取移动硬盘怎么办

阿拉灯神丁

文件格式 Tuxera NTFS2023 NTFS 磁盘管理器 Mac磁盘管理

Easysearch 可搜索快照功能,看这篇就够了

极限实验室

elasticsearch easysearch 可搜索快照

大模型推理GPT | DeepSeek | Doubao

AIGC.TWang

AIGC GPT 豆包 DeepSeek

鸿蒙元服务实战-笑笑五子棋(3)

万少

鸿蒙 前端 canvas

恶性竞争-探究bug越改越多的原因

Bruce Talk

敏捷开发 系统思考

韩轶平:整个行业都要提高安全意识_安全_郑柯_InfoQ精选文章