又拍云沈志华：如何打造一款安全的 App

8 月 23 日，网易易盾发起的国内首个互联网内容安全联盟在杭州成立，又拍云作为该联盟的首批成员单位出席了成立仪式。又拍云 COO 沈志华在成立仪式上发表了精彩的演讲，并接受了媒体专访。

沈志华在演讲中详解了移动互联网时代的系统安全，介绍了又拍云在 Https 加密传输、HTTPDNS 防劫持方面的经验。

针对存在于整个互联网中的信息安全，沈志华认为“互联网内容安全联盟”的成立能够在净化互联网环境方面起到关键作用。在演讲和媒体专访当中，沈志华认为联盟成立有几个意义：

• 技术上可以互通，联盟内的每家公司不必要重复招人研发；
• 联盟成员在信息安全方面各有各的经验，能够在技术之外输出管理经验；
• 实现信息安全能力包括基础服务的共享；
• 大大减轻创业团队在信息安全方面的压力。

以下是沈志华的演讲全文：

今天很高兴在这里跟大家聊一下，在企业的发展过程中，怎么能够打造一款非常安全的 App。

如今中国的网民数量在今年已经超过人口的 50%，有一半以上的中国人在上网。更恐怖的是，网民里面有 90% 以上已经是手机网民，相当于 100 个网民里有 90 多个会通过手机上网。近几年手机发展速度快，在安全上也出现了非常大的问题，一些专注于手机 App 开发的程序员可能跟原来 PC 端程序员不一样，可能更关注于应用，在安全上面相对来说忽视一点。

这里谈一下手机的发展，我们在 2000 年左右用的基本上是传统手机，2003 年开始萌芽智能机，到了 2007 年苹果第一款 iPhone 发布的时候，引进了一个多点触摸屏的技术，在这个技术之前，我们有智能手机，但是智能手机用得非常不便，要不是用键盘，要不是非常不方便使用的触摸屏，可能要多点几下才能成功，所以苹果第一款 iPhone 发布的时候，大家还是蛮震惊的，特别是它的触摸屏技术非常灵活，灵活到你可以打游戏。所以 iOS、Android 为主的手机操作系统，将互联网的使用体验从传统的互联网瞬间移到了移动互联网上来了。

随之而来，智能手机暴露出了各种安全的问题：一个是系统安全，一个是内容安全。对于系统安全来讲，有信息泄露、信息窃取等问题，还有漏洞、攻击之类的。另外一个我们非常关注的，近几年反映比较多的是内容安全，内容安全包括一些垃圾信息，包括一些色情、暴力，还有一些是信息安全方面的东西。

详解移动互联网的系统安全

系统安全，我们常见的有以下几种：

• 恶意 App、木马 App
• 中间人攻击
• 数据安全（信息泄露、窃取等）、劫持

一旦手机甚至手机里的 App 被种病毒了，它会想方设法调用你的通讯录，在通讯录里面群发引导性的文字让别人去下载，下载以后使手机中病毒。中了这个病毒以后，它会干什么事情呢？那就是非常恐怖了，中了这种木马 App 后，你的 GPS 信息、通讯录，还有手机里的照片、视频都会被他读取，你不知道他会传到哪里去、有什么用途，这块的安全问题非常泛滥。

第二个是中间人攻击。比如你在玩游戏的时候，跳出一个广告或者一个链接，让你去买东西或者是观看其他的内容，这个信息可能不是网站发给你的，而是一个中间人窃取了你的信息，窃取了你在传输过程中的协议，然后他在中间夺过来。比如你在访问网页的时候，突然跳出来一个广告，有可能是一个中间人在上面投放上去的。

最后是刚才谈到的，数据安全问题。互联网上各种数据的传播，绝大多数是基于 HTTP，HTTP 有一个致命的弱点——原文传输。打个比方，我有一张白纸上面有帐号、密码，我委托一个人到什么地方来取点什么内容来，看到这张纸的人是不是都能知道我的帐号密码，是不是都可以去那个地方拿东西？确实如此，你看起来是互联网好像很复杂，但实际上他的 HTTP 的传输就是一张白纸，任何的操作、密码，只要有一个中间人在你经过的路上看着，那你的帐号、密码，包括其他的信息都有可能泄露，都可以插入一些虚假的东西。

怎么解决信息泄露、篡改的风险呢？主要是一个 HTTPS 防范技术。去年开始，百度、阿里基本上已经使用全网 HTTPS 的功能。这里打个小广告，又拍云一直都在推广 HTTPS，花了大量的功夫，又拍云的 HTTPS 平台是国内第一家能够全自动配置 HTTPS 证书的平台，能够很方便地把你的 Http 在 5 分钟内转化成加密的 HTTPS。到 2017 年 1 月份，苹果 iOS 上的 App 已经不允许 HTTPS 传输了，必须要 App 内的 HTTP 转化成 HTTPS 以后，才能上传到 AppStore。所以说，苹果在信息安全这一块下了比较大的功夫。

另外还需要谈一下 HTTPDNS，刚才我们还说到了劫持，这个是很多人喜欢干的事情。你来访问某个网站，帮你做域名解析，但解析到你的目标服务器之外的一台服务器，再给你在里面加点什么东西，推广告也好，推广一些诈骗的东西也好。劫持这块形成了一个黑产业，有非常大的利益驱动在那里，所以才衍生出来很多的劫持事件。介绍一下又拍云怎么防范 DNS 劫持，我们有一个 HTTPDNS，绕开传统的 DNS 解析，用一个全新的 DNS 解析工具；既然域名不需要到别人那里去解析，自然也不会被劫持。

帮创业公司卸下信息安全带来的压力

互联网安全还包括影响更大的信息安全，从互联网诞生到现在，信息安全一直困扰着很多的网站，包括垃圾信息、色情信息、非法信息。尤其是在国内，非法信息猖獗到了非常高的高度，大家都应该懂的。在信息安全这一块上，国家有一定的要求，比如要求每家互联网公司成立信息安全小组，并且这个小组必须要有 C-level 的人带头，要有 7×24 小时的机制，要保证发布的信息通过了公司的审核以后才进行发布，是先审后发。

刚刚周总（指网易易盾总经理周森）也谈到，我们现在内容主要包括文字、图片、视频等。在以前相对来说还好一点，至少后台把不允许出现的信息都禁掉。现在又发展了直播，直播的很多的内容就不存储了，直接是从主播到观众，在直播的过程中做一些技术上的鉴别工作，对技术的挑战性更大。

信息安全这个东西，对于很多的创业公司来说是个很大的挑战，又要发展得快，又要保证信息的安全，创业公司在两方面同时要消耗大量的精力。土豆刚成立的时候，它在杭州清泰街那边弄了个 200 人的团队专门看视频，这些视频五花八门，有的看似正常，是一部动画片，但是里面的文字是宣传邪教的，所以创业公司在信息安全方面的投入也是非常大的。

网易易盾发起成立“互联网内容安全联盟”，能够输出这么多的应用能力，降低很多创业者在创业过程中在信息安全方面的投入精力，我觉得是非常好的事情，应该说对整个行业都有非常好的正向意义。