【活動j結(jié)束 獲獎名單公布】從近期互聯(lián)網(wǎng)企業(yè)密碼泄露探討如何構(gòu)建一個安全的系統(tǒng)

chenyx

yanyangtian4502 發(fā)表于 2012-01-04 11:49
其實這個問題不是微軟平臺的問題，確實與開發(fā)者本身有一定的關(guān)系！
就好比給我們一把很厲害的火槍，但是我 ...

嗯,語言只是工具,能不能用好,需要看使用工具的人的水平
你的那個火槍的比喻很貼切.
同樣的,php入門也很簡單,用好就是另外的問題了

yanyangtian4502

昨天說了一些有關(guān)散列的問題，不知道朋友們對這個問題了解的如何了！今天打算談?wù)劶用艿膯栴}

yanyangtian4502

下面我將會為朋友介紹一些加密的知識，主要介紹：對稱加密，非對稱加密！下上圖看看效果

yanyangtian4502

也許有人在這里就要問我了：主題是討論“如何構(gòu)建一個安全的系統(tǒng)”，我為什么總是在這些細節(jié)上面糾結(jié)！
其實不管構(gòu)建什么應(yīng)用，最后的落腳點肯定是在細節(jié)上面。

在這里，我不禁想起了一個問題：之前我去為一些企業(yè)做高性能架構(gòu)設(shè)計的培訓(xùn)，在培訓(xùn)中，我講述了很多與性能優(yōu)化相關(guān)的知識，并且給出了很多實際的例子。當時，聽眾就問我：不是講架構(gòu)嗎，怎么講的這么細致。因為很多人以為一談到架構(gòu)，就會涉及很高層，抽象的東西。試想：如果不對每個性能的問題的細節(jié)都了如指掌，如何“高”的起來，如何評估架構(gòu)中的性能問題。高層抽象的理論，很好掌握，如何真正的將這些理論用起來，才是關(guān)鍵。如果總是不斷的高談架構(gòu)，安全的架構(gòu)理論，很虛啊！所以，細節(jié)決定成敗，只有把每個點搞定了，才可以往“高“處談。

這里的安全問題，也是同樣地道理。

chenyx

細節(jié)決定成敗,系統(tǒng)的安全性取決于最不安全的那個地方,也就是木桶原理

realmon

都在討論加密的內(nèi)容啊,那是在數(shù)據(jù)庫被拖走之后的事情..
用戶信息,信用卡,手機號都很重要;
為什么不把數(shù)據(jù)庫放在trusted zone呢

king_819

回復(fù) 36# realmon


    只要跟前端應(yīng)用層有交互，應(yīng)用層設(shè)計存在安全漏洞，就有可能被爆庫

tomac_cu

關(guān)于防注入，就不說了，這個是初哥問題。
關(guān)于密碼，最好就是自制加密算法，只要很少的改動量就萬事OK，比如在md5的基礎(chǔ)上加個 ror或是xor
不管用什么語言，都用https吧，屎也許就在運營商那里，加上S，你才有可能是清白的。
就這么多了，再多就要危害國家安全了

realmon

回復(fù) 37# king_819
我的意思是
密碼不需要太復(fù)雜的加密算法,
僅僅加密密碼是不夠的,因為其他信息同樣重要.
要在整個數(shù)據(jù)庫上做好防護工作.
而應(yīng)用上的漏洞則可以算是防護工作的失誤.

   

realmon

今天又看到新浪微博有sql注入漏洞!
代碼外包的?不review的么?