國內哪些網站的用戶資料庫安全性做的最好?他們都是怎麼做的?
01-19
安全和用戶體驗是一對矛盾的雙方,用戶體驗差的地方很多,呵呵,那些讓你覺得不那麼方便的地方或許就是安全級別較高的地方。
最高的一定是涉及金融的。它提供的安全策略也值得借鑒,例如密碼強度,取回方法,身份認證等。從技術角度來講,則是它的加密方式。
順便一提,大學時我們就做過一個小課題,對QQ信息傳輸的方式進行了解析,發現它用的是RAS加密傳輸,國際上認為安全的演算法建議加密16輪或32輪,但是QQ為了速度只用了8輪,簡言之就是指數降低了破解的時間成本,加上js加密的缺陷,傳輸的內容甚至登錄密碼都有可能被截獲,QQ一定不會那麼忽視賬戶安全,但是也絕不夠安全——作為TM也沒辦法,只要不爆醜聞估計不會作太大改動。
可能跑遠了,我想說一句,微博,多玩被入侵我不覺得奇怪,但是人人每年花那麼多錢聘技術員有的甚至不比騰訊低、CSDN自己做技術的,都這麼忽視安全,讓自己的用戶表單在圈內傳播,實在是個恥辱。
很多都很強大的··相信QQ的是做的做好的之一!因為這麼多年來的盜號人促進了他們的安全性的提高!
資料庫內部細節外部的人誰都不知道,誰能想像CSDN這樣的網站一直到10年資料庫里還存了明文密碼!隨便找個大學本科生做的最多的「圖書管理系統」,密碼至少也是MD5哈希過一次的吧。 而且,光談資料庫安全性也沒有意義,都能夠讓黑客獲得許可權可以看見資料庫甚至拖庫了,就算密碼保護的很好也已經算是非常失敗了吧。 所以只能談用戶帳號體系的安全性,這方面,我認為騰訊是做的不錯,雖然不知道內部是怎麼做的,只是覺得。
dz的動態加密也不錯
這個問題不知道該如何回答,或者說還無最佳答案在內心,但是可以分享一篇有感而寫的文章:賬號泄漏門事件 談網路安全意識
http://www.mysqlops.com/2011/12/26/security.html註:1個多月沒寫文章,接下來也會消失一段時間,以後慢慢會把一些做過的東西及建議詳細分享給大家.
任何安全性都不是孤立而言的。單單做資料庫安全等於沒有任何意義。你得首先了解攻擊者的攻擊模式,以及自己的哪些數據是需要保護的,然後才知道如何確保所有接觸到的途徑可以被控制和檢查。因此通常情況下,途徑多種多樣,安全也就是多層次的,不單單是資料庫上做個解決方案就能處理掉的。
網路上沒有秘密可言
推薦閱讀:
※國內外有哪些關於信息安全方面的網站或論壇?
※CSDN 為什麼會用明文存儲密碼?是意外還是故意的?
※為什麼晶元卡要比磁條卡安全?
※國內個人架設使用VPN來保護自己的數據安全有哪些法律障礙?
※如何看待「聯盟哥哥」平台的賬號租借功能?有安全隱患嗎?