上个月,由于我在阿里云上的vps即将过期,收到了客服小哥的一通电话。说完正事,当时随口一问你怎么知道我这个手机号的(老年人的记忆中应该是另一个手机号),小哥说道:“我看不见你的手机号,系统上显示的就是一串字符,我是通过系统上的功能联系你的”。虽然这仅仅是一个很小的细节,却也反映了大厂某些程度的认真态度。前几天A站的数据库信息泄露,用户信息被挂在暗网上售卖。
什么条件下的安全才是安全的呢?写规范的前端页面、考虑接口的安全性、保证服务器安全访问的等等?这些都是方式,但是记得墨菲定律吗!防御式编程告诉我们:
抵御那些不可能的事,因为看似不可能的事也会发生。
因此,我们可以确定两个前提:
- 数据库已经到攻击者手上了。
- 世上没有绝对的安全,但是假如当破解密码需要的成本超过获得的收益,就是相对安全的。
密码存储方式
普通用户使用密码习惯性的使用相同的密码,毕竟在当下已经有太多需要账户密码来登陆的应用了。这时候
明文存储不可取
在安全意识淡薄的远古时代,不少服务器都是明文存储密码的。这种安全性是很脆弱的,无论从开发和运维的角度都有很大的问题,一个小的bug可能就造成了密码泄露,且任何有读取数据库权限的人都可以读到用户的账户和密码,规范的开发流程这是绝对不允许的。
用户敏感信息包括个人信息,联系方式,以及密码等等,对这些信息的处理,已经不能仅仅站在开发者的角度了,这需要责任感。不认真对待,CSDN、网易52G殷鉴不远。当然话说回来,用户信息到底该怎么处理?
