【活动j结束 获奖名单公布】从近期互联网企业密码泄露探讨如何构建一个安全的系统

chenyx

沙发支持.

chenyx

1，如何设计一个安全的系统，构建一个安全的架构
没有绝对安全的系统,Linux网站被黑就是做好的例子.
我们能做的,就是尽可能的考虑可能的情况,然后针对我们考虑的情况,做好安全策略.
架构安全,防火墙策略是必不可少的,端口开放越少越好,只对外开放必要的端口,另外,需要远程管理的话,连接使用ssh,禁用ssh的密码登陆,只用key,改ssh端口等.
2，常见的安全问题剖析以及安全知识分享
网站常见的攻击,以sql注入比较常见,另外,弱密码攻击也是主要的因素.
弱密码的防范,一是加强用户注册的时候的弱密码检查,要求用户密码长度要达到一定要求,二是,密码存储要加密,比如discuz的md5+salt,还有帝国cms的md5(md5)(两次md5),可以防止远程暴库攻击
sql注入的防范,主要是对用户的输入进行过滤,我的一个方法是,在要求int类型的用户输入的变量,在服务器端进行一次a=a+0的变换,确保获得的值是int类型的(我的环境是php,弱类型语言).

chenyx

hash的方法很多,常见的比如md5,由于黑客拥有大量的md5数据库,基本上,如果能够获取到加密的密文,通过查表,弱密码很容易就被查询得知;
sha目前看比较安全.
不过,最好还是进行+salt或者两次变换的方式,这样能加大黑客破解的难度

chenyx

无证程序员

悲哀,为什么一到追究责任的时候就变成"无证"了?

chenyx

yanyangtian4502 发表于 2012-01-04 11:49
其实这个问题不是微软平台的问题，确实与开发者本身有一定的关系！
就好比给我们一把很厉害的火枪，但是我 ...

嗯,语言只是工具,能不能用好,需要看使用工具的人的水平
你的那个火枪的比喻很贴切.
同样的,php入门也很简单,用好就是另外的问题了

chenyx

细节决定成败,系统的安全性取决于最不安全的那个地方,也就是木桶原理