Fork me on GitHub
秋染蒹葭

安全札记之三:用户敏感信息的处理

上个月,由于我在阿里云上的vps即将过期,收到了客服小哥的一通电话。说完正事,当时随口一问你怎么知道我这个手机号的(老年人的记忆中应该是另一个手机号),小哥说道:“我看不见你的手机号,系统上显示的就是一串字符,我是通过系统上的功能联系你的”。虽然这仅仅是一个很小的细节,却也反映了大厂某些程度的认真态度。前几天A站的数据库信息泄露,用户信息被挂在暗网上售卖。

什么条件下的安全才是安全的呢?写规范的前端页面、考虑接口的安全性、保证服务器安全访问的等等?这些都是方式,但是记得墨菲定律吗!防御式编程告诉我们:

抵御那些不可能的事,因为看似不可能的事也会发生。

因此,我们可以确定两个前提:

  • 数据库已经到攻击者手上了。
  • 世上没有绝对的安全,但是假如当破解密码需要的成本超过获得的收益,就是相对安全的。

密码存储方式

普通用户使用密码习惯性的使用相同的密码,毕竟在当下已经有太多需要账户密码来登陆的应用了。这时候

明文存储不可取

在安全意识淡薄的远古时代,不少服务器都是明文存储密码的。这种安全性是很脆弱的,无论从开发和运维的角度都有很大的问题,一个小的bug可能就造成了密码泄露,且任何有读取数据库权限的人都可以读到用户的账户和密码,规范的开发流程这是绝对不允许的。

用户敏感信息包括个人信息,联系方式,以及密码等等,对这些信息的处理,已经不能仅仅站在开发者的角度了,这需要责任感。不认真对待,CSDN、网易52G殷鉴不远。当然话说回来,用户信息到底该怎么处理?

参考资料

本文标题:安全札记之三:用户敏感信息的处理

文章作者:zhyjor

发布时间:2018年06月15日 - 08:06

最后更新:2023年10月11日 - 02:10

原始链接:https://zhyjor.github.io/2018/06/15/安全札记之三:用户敏感信息的处理/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

🐶 您的支持将鼓励我继续创作 🐶

热评文章