GMTC全球大前端技术大会(北京站)门票9折特惠截至本周五,点击立减¥480 了解详情
写点什么

又拍云沈志华:如何打造一款安全的 App

2016 年 11 月 14 日

8 月 23 日,网易易盾发起的国内首个互联网内容安全联盟在杭州成立,又拍云作为该联盟的首批成员单位出席了成立仪式。又拍云 COO 沈志华在成立仪式上发表了精彩的演讲,并接受了媒体专访。

沈志华在演讲中详解了移动互联网时代的系统安全,介绍了又拍云在 Https 加密传输、HTTPDNS 防劫持方面的经验。

针对存在于整个互联网中的信息安全,沈志华认为“互联网内容安全联盟”的成立能够在净化互联网环境方面起到关键作用。在演讲和媒体专访当中,沈志华认为联盟成立有几个意义:

  • 技术上可以互通,联盟内的每家公司不必要重复招人研发;
  • 联盟成员在信息安全方面各有各的经验,能够在技术之外输出管理经验;
  • 实现信息安全能力包括基础服务的共享;
  • 大大减轻创业团队在信息安全方面的压力。

以下是沈志华的演讲全文:

今天很高兴在这里跟大家聊一下,在企业的发展过程中,怎么能够打造一款非常安全的 App。

如今中国的网民数量在今年已经超过人口的 50%,有一半以上的中国人在上网。更恐怖的是,网民里面有 90% 以上已经是手机网民,相当于 100 个网民里有 90 多个会通过手机上网。近几年手机发展速度快,在安全上也出现了非常大的问题,一些专注于手机 App 开发的程序员可能跟原来 PC 端程序员不一样,可能更关注于应用,在安全上面相对来说忽视一点。

这里谈一下手机的发展,我们在 2000 年左右用的基本上是传统手机,2003 年开始萌芽智能机,到了 2007 年苹果第一款 iPhone 发布的时候,引进了一个多点触摸屏的技术,在这个技术之前,我们有智能手机,但是智能手机用得非常不便,要不是用键盘,要不是非常不方便使用的触摸屏,可能要多点几下才能成功,所以苹果第一款 iPhone 发布的时候,大家还是蛮震惊的,特别是它的触摸屏技术非常灵活,灵活到你可以打游戏。所以 iOS、Android 为主的手机操作系统,将互联网的使用体验从传统的互联网瞬间移到了移动互联网上来了。

随之而来,智能手机暴露出了各种安全的问题:一个是系统安全,一个是内容安全。对于系统安全来讲,有信息泄露、信息窃取等问题,还有漏洞、攻击之类的。另外一个我们非常关注的,近几年反映比较多的是内容安全,内容安全包括一些垃圾信息,包括一些色情、暴力,还有一些是信息安全方面的东西。

详解移动互联网的系统安全

系统安全,我们常见的有以下几种:

  • 恶意 App、木马 App
  • 中间人攻击
  • 数据安全(信息泄露、窃取等)、劫持

一旦手机甚至手机里的 App 被种病毒了,它会想方设法调用你的通讯录,在通讯录里面群发引导性的文字让别人去下载,下载以后使手机中病毒。中了这个病毒以后,它会干什么事情呢?那就是非常恐怖了,中了这种木马 App 后,你的 GPS 信息、通讯录,还有手机里的照片、视频都会被他读取,你不知道他会传到哪里去、有什么用途,这块的安全问题非常泛滥。

第二个是中间人攻击。比如你在玩游戏的时候,跳出一个广告或者一个链接,让你去买东西或者是观看其他的内容,这个信息可能不是网站发给你的,而是一个中间人窃取了你的信息,窃取了你在传输过程中的协议,然后他在中间夺过来。比如你在访问网页的时候,突然跳出来一个广告,有可能是一个中间人在上面投放上去的。

最后是刚才谈到的,数据安全问题。互联网上各种数据的传播,绝大多数是基于 HTTP,HTTP 有一个致命的弱点——原文传输。打个比方,我有一张白纸上面有帐号、密码,我委托一个人到什么地方来取点什么内容来,看到这张纸的人是不是都能知道我的帐号密码,是不是都可以去那个地方拿东西?确实如此,你看起来是互联网好像很复杂,但实际上他的 HTTP 的传输就是一张白纸,任何的操作、密码,只要有一个中间人在你经过的路上看着,那你的帐号、密码,包括其他的信息都有可能泄露,都可以插入一些虚假的东西。

怎么解决信息泄露、篡改的风险呢?主要是一个 HTTPS 防范技术。去年开始,百度、阿里基本上已经使用全网 HTTPS 的功能。这里打个小广告,又拍云一直都在推广 HTTPS,花了大量的功夫,又拍云的 HTTPS 平台是国内第一家能够全自动配置 HTTPS 证书的平台,能够很方便地把你的 Http 在 5 分钟内转化成加密的 HTTPS。到 2017 年 1 月份,苹果 iOS 上的 App 已经不允许 HTTPS 传输了,必须要 App 内的 HTTP 转化成 HTTPS 以后,才能上传到 AppStore。所以说,苹果在信息安全这一块下了比较大的功夫。

另外还需要谈一下 HTTPDNS,刚才我们还说到了劫持,这个是很多人喜欢干的事情。你来访问某个网站,帮你做域名解析,但解析到你的目标服务器之外的一台服务器,再给你在里面加点什么东西,推广告也好,推广一些诈骗的东西也好。劫持这块形成了一个黑产业,有非常大的利益驱动在那里,所以才衍生出来很多的劫持事件。介绍一下又拍云怎么防范 DNS 劫持,我们有一个 HTTPDNS,绕开传统的 DNS 解析,用一个全新的 DNS 解析工具;既然域名不需要到别人那里去解析,自然也不会被劫持。

帮创业公司卸下信息安全带来的压力

互联网安全还包括影响更大的信息安全,从互联网诞生到现在,信息安全一直困扰着很多的网站,包括垃圾信息、色情信息、非法信息。尤其是在国内,非法信息猖獗到了非常高的高度,大家都应该懂的。在信息安全这一块上,国家有一定的要求,比如要求每家互联网公司成立信息安全小组,并且这个小组必须要有 C-level 的人带头,要有 7×24 小时的机制,要保证发布的信息通过了公司的审核以后才进行发布,是先审后发。

刚刚周总(指网易易盾总经理周森)也谈到,我们现在内容主要包括文字、图片、视频等。在以前相对来说还好一点,至少后台把不允许出现的信息都禁掉。现在又发展了直播,直播的很多的内容就不存储了,直接是从主播到观众,在直播的过程中做一些技术上的鉴别工作,对技术的挑战性更大。

信息安全这个东西,对于很多的创业公司来说是个很大的挑战,又要发展得快,又要保证信息的安全,创业公司在两方面同时要消耗大量的精力。土豆刚成立的时候,它在杭州清泰街那边弄了个 200 人的团队专门看视频,这些视频五花八门,有的看似正常,是一部动画片,但是里面的文字是宣传邪教的,所以创业公司在信息安全方面的投入也是非常大的。

网易易盾发起成立“互联网内容安全联盟”,能够输出这么多的应用能力,降低很多创业者在创业过程中在信息安全方面的投入精力,我觉得是非常好的事情,应该说对整个行业都有非常好的正向意义。

2016 年 11 月 14 日 04:40453

评论

发布
暂无评论
发现更多内容

云原生2.0时代下,DevOps实践如何才能更加高效敏捷?

华为云开发者社区

云计算 数字化 华为云

收藏!数据建模最全知识体系解读

华为云开发者社区

数据仓库 数据 数据建模

云算力矿机源码价格,区块链挖矿平台开发

13530558032

KubeVela 正式开源:一个高可扩展的云原生应用平台与核心引擎

阿里巴巴云原生

阿里云 开源 Kubernetes 云原生 OAM

年轻人不讲武德不仅白piao接口测试知识还白piao接口测试工具会员

测试人生路

接口测试

小学妹问我:如何利用可视化工具排查问题?

田维常

可视化

区块链,音乐,流媒体和版税

CECBC区块链专委会

区块链 艺术

开个交易所需要多少费用?数字货币交易所搭建

13530558032

天啊!怎么会有人把Spring Cloud微服务架构讲得这么透彻?

Java架构之路

Java 程序员 架构 面试 编程语言

《迅雷链精品课》第五课:账户与账本

迅雷链

区块链

synchronized 到底该不该用

古时的风筝

Java synchronized

SpringBoot:整合Swagger3.0与RESTful接口整合返回值(2020最新最易懂)

比伯

Java 编程 架构 面试 计算机

基于SpringBoot、SpringCloud、Docker微服务架构实战,资源分享

Java架构之路

Java 程序员 架构 面试 编程语言

Forrester 最新报告:阿里云稳居领导者地位,引领云原生开发浪潮

阿里巴巴云原生

阿里云 Serverless Kubernetes 容器 云原生

某美团程序员爆料:筛选简历时,用go语言的基本不看!网友:当韭菜还当出优越感了!

Java架构师迁哥

一次 Java 进程 OOM 的排查分析(glibc 篇)

996小迁

Java 编程 架构 面试 计算机

区块链数字货币钱包源码价格,区块链多币种钱包

13530558032

【云图说】第189期 初识数据仓库服务

华为云开发者社区

数据库 数据仓库 数据

架构师Week5作业

lggl

作业

DàYé的CTO姗姗学步路

曲水流觞TechRill

管理 CTO

《垃圾回收的算法与实现》.pdf

田维常

垃圾回收

胡继晔:中国应建区块链行业准入制度

CECBC区块链专委会

区块链 金融 数字经济

JVM入门,认识Class文件

Simon郎

JVM Java 分布式

区块链在债券市场如何应用

CECBC区块链专委会

区块链 债券

分布式事务太繁琐?官方推荐Atomikos,5分钟帮你搞定

互联网应用架构

分布式事务 springboot

太赞了!腾讯T3-3架构师整理了5000页的Java学习手册免费开放下载

Java架构之路

Java 程序员 架构 面试 编程语言

大四女学霸社招竟成功签约字节跳动,拿下30万年薪?

Java架构师迁哥

《Python程序员面试算法宝典》PDF 超清版免费领取

计算机与AI

Python 面试 算法

科普干货|漫谈鸿蒙LiteOS-M与HUAWEI LiteOS内核的几大不同

华为云开发者社区

华为 鸿蒙 IoT

高性能利器!华为云MRS ClickHouse重磅推出!

华为云开发者社区

数据库 Clickhouse MRS

【涂鸦物联网足迹】涂鸦云平台消息服务—顺带Pulsar简单介绍

IoT云工坊

人工智能 物联网 云服务 Apache Pulsar 云平台

又拍云沈志华:如何打造一款安全的App-InfoQ