免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 19849 | 回复: 68

【活动j结束 获奖名单公布】从近期互联网企业密码泄露探讨如何构建一个安全的系统 [复制链接]

论坛徽章:
0
发表于 2012-01-04 09:04 |显示全部楼层
   
本次活动获奖ID:chenyx    king_819    tomac_cu  broadway2008  yifangyou  kns1024wh
请以上网友将自己的地址站内信至:风铃之音。我们会尽快帮您快递图书。
感谢大家的积极参与!

  相信大家都知道,最近很多互联网公司出现了密码泄露的问题。怨声载道,也引发了很多的热议。作为技术人员,在这件“悲剧”之后,我们要想想:我们可以做些什么?无疑,首先是加强安全意识,进一步的,提高安全编程,安全设计的能力。     

    同时,某些互联网公司不断的发展,和很多的第三方集成,合作,造成了安全隐患。其实这种类似的情况,在软件开发中很常见:往往由于设计者的能力或者经验等原因,考虑的不够周密,细致,造成了“捉肩见肘”的意想不到的情况。     

    那么,我们本期就来谈谈作为一个设计者,我们如何更好的来设计和构建一个系统,使得这样的悲剧尽可能少的发生。

本期讨论话题:
    1,如何设计一个安全的系统,构建一个安全的架构
    2,常见的安全问题剖析以及安全知识分享


活动要求:就以上问题分享个人的经验、案例,或者分享一些与安全相关的知识

邀请嘉宾:yuhongchun(抚琴煮酒)集群与高可用版块版主,高级Linux/Unix系统管理员
              King_819                    某大型网游网站运维总监

活动时间:2011-1-4——2012-1-20

活动有奖:本次活动我们为大家准备了汪洋最新的著作《.NET应用架构设计:原则、模式与实践》8本,我们将从大家回复中评选出积极参与回复的网友八名。

图书样章:http://blog.chinaunix.net/space.php?uid=23458341&do=blog&frmd=149547&view=me

123.jpg

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2012-01-04 09:16 |显示全部楼层
沙发支持.

论坛徽章:
0
发表于 2012-01-04 09:17 |显示全部楼层
呵呵,第一个报道了啊!多谢回复 2# chenyx


   

论坛徽章:
0
发表于 2012-01-04 09:18 |显示全部楼层
为了鼓励朋友们发言,我这里先挑起一个讨论点:hash(SHA)等于数据加密吗?

论坛徽章:
0
发表于 2012-01-04 09:24 |显示全部楼层
支持汪洋兄的活动~大家积极参加。有好书相赠哇

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2012-01-04 09:27 |显示全部楼层
1,如何设计一个安全的系统,构建一个安全的架构
没有绝对安全的系统,Linux网站被黑就是做好的例子.
我们能做的,就是尽可能的考虑可能的情况,然后针对我们考虑的情况,做好安全策略.
架构安全,防火墙策略是必不可少的,端口开放越少越好,只对外开放必要的端口,另外,需要远程管理的话,连接使用ssh,禁用ssh的密码登陆,只用key,改ssh端口等.
2,常见的安全问题剖析以及安全知识分享
网站常见的攻击,以sql注入比较常见,另外,弱密码攻击也是主要的因素.
弱密码的防范,一是加强用户注册的时候的弱密码检查,要求用户密码长度要达到一定要求,二是,密码存储要加密,比如discuz的md5+salt,还有帝国cms的md5(md5)(两次md5),可以防止远程暴库攻击
sql注入的防范,主要是对用户的输入进行过滤,我的一个方法是,在要求int类型的用户输入的变量,在服务器端进行一次a=a+0的变换,确保获得的值是int类型的(我的环境是php,弱类型语言).

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2012-01-04 09:30 |显示全部楼层
hash的方法很多,常见的比如md5,由于黑客拥有大量的md5数据库,基本上,如果能够获取到加密的密文,通过查表,弱密码很容易就被查询得知;
sha目前看比较安全.
不过,最好还是进行+salt或者两次变换的方式,这样能加大黑客破解的难度

论坛徽章:
0
发表于 2012-01-04 09:40 |显示全部楼层
本帖最后由 yanyangtian4502 于 2012-01-04 09:47 编辑
chenyx 发表于 2012-01-04 09:27
1,如何设计一个安全的系统,构建一个安全的架构
没有绝对安全的系统,Linux网站被黑就是做好的例子.
我们 ...


哥们,确实很对!没有绝对的安全,很多的安全只是尽可能的使得被黑得概率变小,或者使得被黑得难度加大,这是我们做程序的人的挑战,也是对黑客的挑战,呵呵呵!
很多时候,仅仅安全需要软硬件的配合!

论坛徽章:
0
发表于 2012-01-04 09:42 |显示全部楼层
SHA是散列的不错选择,特别是在密码保存方面,其实SHA的也是本身也在发展,例如之前是128位,现在一般建议是256,甚至512位。回复 7# chenyx


   

论坛徽章:
0
发表于 2012-01-04 09:42 |显示全部楼层
另外,其实我认为:hash(SHA)不等于数据加密。

Hash(SHA),也就是我们通常说的散列,常用被用来验证数据的完整性。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

DTCC2020中国数据库技术大会

【架构革新 高效可控】2020年12月21日-23日第十一届中国数据库技术大会将在北京隆重召开。

大会设置2大主会场,20+技术专场,将邀请超百位行业专家,重点围绕数据架构、AI与大数据、传统企业数据库实践和国产开源数据库等内容展开分享和探讨,为广大数据领域从业人士提供一场年度盛会和交流平台。

http://dtcc.it168.com


大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP