【活动j结束 获奖名单公布】从近期互联网企业密码泄露探讨如何构建一个安全的系统

yanyangtian4502

   
本次活动获奖ID：chenyx    king_819    tomac_cu  broadway2008  yifangyou  kns1024wh
请以上网友将自己的地址站内信至：风铃之音。我们会尽快帮您快递图书。
感谢大家的积极参与！

  相信大家都知道,最近很多互联网公司出现了密码泄露的问题。怨声载道，也引发了很多的热议。作为技术人员，在这件“悲剧”之后，我们要想想：我们可以做些什么？无疑，首先是加强安全意识，进一步的，提高安全编程，安全设计的能力。     

    同时，某些互联网公司不断的发展，和很多的第三方集成，合作，造成了安全隐患。其实这种类似的情况，在软件开发中很常见：往往由于设计者的能力或者经验等原因，考虑的不够周密，细致，造成了“捉肩见肘”的意想不到的情况。     

    那么，我们本期就来谈谈作为一个设计者，我们如何更好的来设计和构建一个系统，使得这样的悲剧尽可能少的发生。

本期讨论话题：
    1，如何设计一个安全的系统，构建一个安全的架构
    2，常见的安全问题剖析以及安全知识分享

活动要求：就以上问题分享个人的经验、案例，或者分享一些与安全相关的知识。

邀请嘉宾：yuhongchun（抚琴煮酒）集群与高可用版块版主，高级Linux/Unix系统管理员
              King_819                    某大型网游网站运维总监

活动时间：2011-1-4——2012-1-20

活动有奖：本次活动我们为大家准备了汪洋最新的著作《.NET应用架构设计：原则、模式与实践》8本，我们将从大家回复中评选出积极参与回复的网友八名。

图书样章：http://blog.chinaunix.net/space.php?uid=23458341&do=blog&frmd=149547&view=me

chenyx

沙发支持.

yanyangtian4502

呵呵，第一个报道了啊！多谢回复 2# chenyx


   

yanyangtian4502

为了鼓励朋友们发言，我这里先挑起一个讨论点：hash（SHA）等于数据加密吗？

无风之谷

支持汪洋兄的活动~大家积极参加。有好书相赠哇

chenyx

1，如何设计一个安全的系统，构建一个安全的架构
没有绝对安全的系统,Linux网站被黑就是做好的例子.
我们能做的,就是尽可能的考虑可能的情况,然后针对我们考虑的情况,做好安全策略.
架构安全,防火墙策略是必不可少的,端口开放越少越好,只对外开放必要的端口,另外,需要远程管理的话,连接使用ssh,禁用ssh的密码登陆,只用key,改ssh端口等.
2，常见的安全问题剖析以及安全知识分享
网站常见的攻击,以sql注入比较常见,另外,弱密码攻击也是主要的因素.
弱密码的防范,一是加强用户注册的时候的弱密码检查,要求用户密码长度要达到一定要求,二是,密码存储要加密,比如discuz的md5+salt,还有帝国cms的md5(md5)(两次md5),可以防止远程暴库攻击
sql注入的防范,主要是对用户的输入进行过滤,我的一个方法是,在要求int类型的用户输入的变量,在服务器端进行一次a=a+0的变换,确保获得的值是int类型的(我的环境是php,弱类型语言).

chenyx

hash的方法很多,常见的比如md5,由于黑客拥有大量的md5数据库,基本上,如果能够获取到加密的密文,通过查表,弱密码很容易就被查询得知;
sha目前看比较安全.
不过,最好还是进行+salt或者两次变换的方式,这样能加大黑客破解的难度

yanyangtian4502

chenyx 发表于 2012-01-04 09:27
1，如何设计一个安全的系统，构建一个安全的架构
没有绝对安全的系统,Linux网站被黑就是做好的例子.
我们 ...

哥们，确实很对！没有绝对的安全，很多的安全只是尽可能的使得被黑得概率变小，或者使得被黑得难度加大，这是我们做程序的人的挑战，也是对黑客的挑战，呵呵呵！
很多时候，仅仅安全需要软硬件的配合！

yanyangtian4502

SHA是散列的不错选择,特别是在密码保存方面，其实SHA的也是本身也在发展，例如之前是128位，现在一般建议是256，甚至512位。回复 7# chenyx


   

yanyangtian4502

另外，其实我认为：hash（SHA）不等于数据加密。

Hash(SHA)，也就是我们通常说的散列，常用被用来验证数据的完整性。