论坛徽章:: 0

51楼 [报告]

发表于 2012-01-09 08:43 |只看该作者

最近也是快到新年了，估计大伙都在忙着年终，新年等问题呵呵如果有些时间还是希望大家多多参与活动！
毕竟2011年是不寻常的一年，发生了太多的网络问题，值得我们关注

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

yanyangtian4502

版主

论坛徽章:: 0

52楼 [报告]

发表于 2012-01-09 09:10 |只看该作者

本帖最后由 yanyangtian4502 于 2012-01-09 09:11 编辑

对称加密
对称加密是两种算法中速度比较快的算法。所谓的对称加密，大家应该不陌生了，我这里稍微的罗嗦一下：就是加密解密都是采用相同的key，我们可以认为是key就是加密的因子。

现在很多的开发框架中，开始引入一个“区块加密法”的概念。就是把将要加密的明文数据划分为几个长度固定的数据块，然后分别对每一个数据块进行加密。我们可以想想，如果只是简单采用了这种区块加密法的方法，那么，如果有两个块数据一样，那么，加密的结果可能就一样了，这就可能产生类似之前谈到的“彩虹表”的问题。

为了规避这个问题，很多的开发框架或者开发语言中的加密组件都是一种链式的加密方式：
1. 选择一个对称加密算法
2. 创建一个key，这个key可以使任意的数据值
3. 创建一个IV。这个IV就是加密算法的初始因子，最好是一个随机值。
4. 将明文的数据转为字节数组
5. 用Key和IV加密明文字节数据
6. 保存好key和IV

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

yanyangtian4502

版主

论坛徽章:: 0

53楼 [报告]

发表于 2012-01-09 09:10 |只看该作者

用一个图描述整个加密的过程如下：

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

lhy0416

稍有积蓄

论坛徽章:: 0

54楼 [报告]

发表于 2012-01-09 23:37 |只看该作者

有个问题不太清楚，得到数据库内容的难度是不是比得到网站源代码的难度低？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

yanyangtian4502

版主

论坛徽章:: 0

55楼 [报告]

发表于 2012-01-10 10:10 |只看该作者

没有谁比谁低这一说。
很多时候都是通过多个方面来攻击的，例如，如果你的程序有一些bug，最典型的就是程序抛出异常的时候，你没有处理，而是让它显示出来，这样，一些信息，例如数据库的链接信息等就暴露，然后黑客再根据这些信息，不断的尝试，最后获取数据库的查看，设置更多权限。从而暴库

回复 54# lhy0416

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

rdcwayx

版主

论坛徽章:: 15

56楼 [报告]

发表于 2012-01-11 06:14 |只看该作者

安全这块，不能光谈技术，其实人的问题更大。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

yifangyou

小富即安

论坛徽章:: 27

57楼 [报告]

发表于 2012-01-12 22:22 |只看该作者

1，如何设计一个安全的系统，构建一个安全的架构
答： 1) 目前采用的OAuth系统统一认证，这样利于多站点扩展
   2)密码最好用不可逆加密，并且最好加salt,这样即使丢了数据库，也不怕大量泄密
   3)服务器密码尽量不传播多人
   4）数据库各个系统分离，即使一个数据库被破也不影响其他系统
   5）统一出来输入数据，防止不安全输入，例如SQL注入,XSS攻击

2，常见的安全问题剖析以及安全知识分享
答：1）SQL注入，在一个很大的网站，网页成千上百个网页，只要一个页面有SQL注入，就会泄漏数据，
      要防止SQL注入，首先要对于输入进行转义特殊字符，例如在php.ini里有转义输入选项。
      不要使用数据库root帐号。
   2）xss攻击，一旦网站有可以提交Js代码的地方，就会出现普通用户或者管理员身份被盗用。
      要防止XSS攻击，首先要在输入处理上屏蔽一切js代码，
      管理员关闭页面时，必须先退出。
      可以加用户上一次登录时间，这样可以防止XSS攻击
   3）执行系统命令，在web网站里最好禁止执行系统命令，或者不要把用户输入传到系统命令的参数中。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

kns1024wh

广告杀手

论坛徽章:: 0

58楼 [报告]

发表于 2012-01-12 23:19 |只看该作者

yanyangtian4502 发表于 2012-01-04 09:18
为了鼓励朋友们发言，我这里先挑起一个讨论点：hash（SHA）等于数据加密吗？

印象中mysql sqlserver 的字段都是支持多种类似的加密选择的，任何一种加密算法至少都是有一定的安全等级的，对于目前出现的所谓的刷库问题，简直是对国内从事互联网行业的一个耻辱。
耻辱一、开发不注重安全性，这个是很多的开发团队都存在的问题，架构师不开率安全技术，那么整套开发就是一个为了完成项目而做的编码游戏，很荒谬是不是，那CSDN来说，出现这个问题简直是不可理喻的。做csdn的也就是那样了
问题二、运维架构或运维工程师不具备安全素质，拿到CSDN的运维不会将数据库放到内网么？没有银子么？最简单的就是多上个上档次的交换机？木呀，为什么不做呢？？再说被刷库的问题，如果用微软的不及时更新补丁，N年前的系统还放在互联网上而不在内网。
问题三、没有银子做IDS IPS么？？这些都是有助于实现安全的基本措施

1，如何设计一个安全的系统，构建一个安全的架构
安全的系统和架构，这个是一个很大的话题架构、代码、部署、运维、网络等多方面的，从核心上来说安全就是从架构的设计者就要考虑安全的实现策略，安全算法规则，编码的安全级别不要编码就有漏洞，不要使用有漏洞的开发环境进行开发；开发阶段的安全测试，不要单纯从代码的功能实现上做测试用例，要考虑安全方面的case；运行环境的操作系统的安全级别选择linux bsd就不要用win了、linux上除了ssh其他的没有必要的服务是没有需要启动的就不启动；网络系统的防护安全，关闭没有必要的端口了，如有必要设置IDS IPS联动了等等；日常的运维安全，不要root就是root，要多做点蜜罐……
2，常见的安全问题剖析以及安全知识分享
网站挂马的发现和解决，操作日志的及时审核，文件的指纹设置，日常的安全检查规则、密码规则等。