【活动j结束 获奖名单公布】从近期互联网企业密码泄露探讨如何构建一个安全的系统

chenyx

yanyangtian4502 发表于 2012-01-04 11:49
其实这个问题不是微软平台的问题，确实与开发者本身有一定的关系！
就好比给我们一把很厉害的火枪，但是我 ...

嗯,语言只是工具,能不能用好,需要看使用工具的人的水平
你的那个火枪的比喻很贴切.
同样的,php入门也很简单,用好就是另外的问题了

yanyangtian4502

昨天说了一些有关散列的问题，不知道朋友们对这个问题了解的如何了！今天打算谈谈加密的问题

yanyangtian4502

下面我将会为朋友介绍一些加密的知识，主要介绍：对称加密，非对称加密！下上图看看效果

yanyangtian4502

也许有人在这里就要问我了：主题是讨论“如何构建一个安全的系统”，我为什么总是在这些细节上面纠结！
其实不管构建什么应用，最后的落脚点肯定是在细节上面。

在这里，我不禁想起了一个问题：之前我去为一些企业做高性能架构设计的培训，在培训中，我讲述了很多与性能优化相关的知识，并且给出了很多实际的例子。当时，听众就问我：不是讲架构吗，怎么讲的这么细致。因为很多人以为一谈到架构，就会涉及很高层，抽象的东西。试想：如果不对每个性能的问题的细节都了如指掌，如何“高”的起来，如何评估架构中的性能问题。高层抽象的理论，很好掌握，如何真正的将这些理论用起来，才是关键。如果总是不断的高谈架构，安全的架构理论，很虚啊！所以，细节决定成败，只有把每个点搞定了，才可以往“高“处谈。

这里的安全问题，也是同样地道理。

chenyx

细节决定成败,系统的安全性取决于最不安全的那个地方,也就是木桶原理

realmon

都在讨论加密的内容啊,那是在数据库被拖走之后的事情..
用户信息,信用卡,手机号都很重要;
为什么不把数据库放在trusted zone呢

king_819

回复 36# realmon


    只要跟前端应用层有交互，应用层设计存在安全漏洞，就有可能被爆库

tomac_cu

关于防注入，就不说了，这个是初哥问题。
关于密码，最好就是自制加密算法，只要很少的改动量就万事OK，比如在md5的基础上加个 ror或是xor
不管用什么语言，都用https吧，屎也许就在运营商那里，加上S，你才有可能是清白的。
就这么多了，再多就要危害国家安全了

realmon

回复 37# king_819
我的意思是
密码不需要太复杂的加密算法,
仅仅加密密码是不够的,因为其他信息同样重要.
要在整个数据库上做好防护工作.
而应用上的漏洞则可以算是防护工作的失误.

   

realmon

今天又看到新浪微博有sql注入漏洞!
代码外包的?不review的么?