又拍云沈志华:如何打造一款安全的 App

  • 沈志华

2016 年 11 月 14 日

话题:CDN语言 & 开发架构

8 月 23 日,网易易盾发起的国内首个互联网内容安全联盟在杭州成立,又拍云作为该联盟的首批成员单位出席了成立仪式。又拍云 COO 沈志华在成立仪式上发表了精彩的演讲,并接受了媒体专访。

沈志华在演讲中详解了移动互联网时代的系统安全,介绍了又拍云在 Https 加密传输、HTTPDNS 防劫持方面的经验。

针对存在于整个互联网中的信息安全,沈志华认为“互联网内容安全联盟”的成立能够在净化互联网环境方面起到关键作用。在演讲和媒体专访当中,沈志华认为联盟成立有几个意义:

  • 技术上可以互通,联盟内的每家公司不必要重复招人研发;
  • 联盟成员在信息安全方面各有各的经验,能够在技术之外输出管理经验;
  • 实现信息安全能力包括基础服务的共享;
  • 大大减轻创业团队在信息安全方面的压力。

以下是沈志华的演讲全文:

今天很高兴在这里跟大家聊一下,在企业的发展过程中,怎么能够打造一款非常安全的 App。

如今中国的网民数量在今年已经超过人口的 50%,有一半以上的中国人在上网。更恐怖的是,网民里面有 90% 以上已经是手机网民,相当于 100 个网民里有 90 多个会通过手机上网。近几年手机发展速度快,在安全上也出现了非常大的问题,一些专注于手机 App 开发的程序员可能跟原来 PC 端程序员不一样,可能更关注于应用,在安全上面相对来说忽视一点。

这里谈一下手机的发展,我们在 2000 年左右用的基本上是传统手机,2003 年开始萌芽智能机,到了 2007 年苹果第一款 iPhone 发布的时候,引进了一个多点触摸屏的技术,在这个技术之前,我们有智能手机,但是智能手机用得非常不便,要不是用键盘,要不是非常不方便使用的触摸屏,可能要多点几下才能成功,所以苹果第一款 iPhone 发布的时候,大家还是蛮震惊的,特别是它的触摸屏技术非常灵活,灵活到你可以打游戏。所以 iOS、Android 为主的手机操作系统,将互联网的使用体验从传统的互联网瞬间移到了移动互联网上来了。

随之而来,智能手机暴露出了各种安全的问题:一个是系统安全,一个是内容安全。对于系统安全来讲,有信息泄露、信息窃取等问题,还有漏洞、攻击之类的。另外一个我们非常关注的,近几年反映比较多的是内容安全,内容安全包括一些垃圾信息,包括一些色情、暴力,还有一些是信息安全方面的东西。

详解移动互联网的系统安全 

系统安全,我们常见的有以下几种:

  • 恶意 App、木马 App
  • 中间人攻击
  • 数据安全(信息泄露、窃取等)、劫持

一旦手机甚至手机里的 App 被种病毒了,它会想方设法调用你的通讯录,在通讯录里面群发引导性的文字让别人去下载,下载以后使手机中病毒。中了这个病毒以后,它会干什么事情呢?那就是非常恐怖了,中了这种木马 App 后,你的 GPS 信息、通讯录,还有手机里的照片、视频都会被他读取,你不知道他会传到哪里去、有什么用途,这块的安全问题非常泛滥。

第二个是中间人攻击。比如你在玩游戏的时候,跳出一个广告或者一个链接,让你去买东西或者是观看其他的内容,这个信息可能不是网站发给你的,而是一个中间人窃取了你的信息,窃取了你在传输过程中的协议,然后他在中间夺过来。比如你在访问网页的时候,突然跳出来一个广告,有可能是一个中间人在上面投放上去的。

最后是刚才谈到的,数据安全问题。互联网上各种数据的传播,绝大多数是基于 HTTP,HTTP 有一个致命的弱点——原文传输。打个比方,我有一张白纸上面有帐号、密码,我委托一个人到什么地方来取点什么内容来,看到这张纸的人是不是都能知道我的帐号密码,是不是都可以去那个地方拿东西?确实如此,你看起来是互联网好像很复杂,但实际上他的 HTTP 的传输就是一张白纸,任何的操作、密码,只要有一个中间人在你经过的路上看着,那你的帐号、密码,包括其他的信息都有可能泄露,都可以插入一些虚假的东西。

怎么解决信息泄露、篡改的风险呢?主要是一个 HTTPS 防范技术。去年开始,百度、阿里基本上已经使用全网 HTTPS 的功能。这里打个小广告,又拍云一直都在推广 HTTPS,花了大量的功夫,又拍云的 HTTPS 平台是国内第一家能够全自动配置 HTTPS 证书的平台,能够很方便地把你的 Http 在 5 分钟内转化成加密的 HTTPS。到 2017 年 1 月份,苹果 iOS 上的 App 已经不允许 HTTPS 传输了,必须要 App 内的 HTTP 转化成 HTTPS 以后,才能上传到 AppStore。所以说,苹果在信息安全这一块下了比较大的功夫。

另外还需要谈一下 HTTPDNS,刚才我们还说到了劫持,这个是很多人喜欢干的事情。你来访问某个网站,帮你做域名解析,但解析到你的目标服务器之外的一台服务器,再给你在里面加点什么东西,推广告也好,推广一些诈骗的东西也好。劫持这块形成了一个黑产业,有非常大的利益驱动在那里,所以才衍生出来很多的劫持事件。介绍一下又拍云怎么防范 DNS 劫持,我们有一个 HTTPDNS,绕开传统的 DNS 解析,用一个全新的 DNS 解析工具;既然域名不需要到别人那里去解析,自然也不会被劫持。

帮创业公司卸下信息安全带来的压力

互联网安全还包括影响更大的信息安全,从互联网诞生到现在,信息安全一直困扰着很多的网站,包括垃圾信息、色情信息、非法信息。尤其是在国内,非法信息猖獗到了非常高的高度,大家都应该懂的。在信息安全这一块上,国家有一定的要求,比如要求每家互联网公司成立信息安全小组,并且这个小组必须要有 C-level 的人带头,要有 7×24 小时的机制,要保证发布的信息通过了公司的审核以后才进行发布,是先审后发。

刚刚周总(指网易易盾总经理周森)也谈到,我们现在内容主要包括文字、图片、视频等。在以前相对来说还好一点,至少后台把不允许出现的信息都禁掉。现在又发展了直播,直播的很多的内容就不存储了,直接是从主播到观众,在直播的过程中做一些技术上的鉴别工作,对技术的挑战性更大。

信息安全这个东西,对于很多的创业公司来说是个很大的挑战,又要发展得快,又要保证信息的安全,创业公司在两方面同时要消耗大量的精力。土豆刚成立的时候,它在杭州清泰街那边弄了个 200 人的团队专门看视频,这些视频五花八门,有的看似正常,是一部动画片,但是里面的文字是宣传邪教的,所以创业公司在信息安全方面的投入也是非常大的。

网易易盾发起成立“互联网内容安全联盟”,能够输出这么多的应用能力,降低很多创业者在创业过程中在信息安全方面的投入精力,我觉得是非常好的事情,应该说对整个行业都有非常好的正向意义。

CDN语言 & 开发架构