第16章 互联网业务安全

16.1 产品需要什么样的安全

安全是一个独立的,应该与业务持平。

16.1.1 互联网产品对安全的需求

安全性是产品特性的一个组成部分,具备了安全性,产品才是完整的;安全做好了,产品才是最终正真的成熟。

16.1.2 什么是好的安全方案

我认为好的方案是:

q  人性化

q  智能化

q  性价比高

再次强调,安全是产品的一种特性,如果产品能够潜移默化地培养用户的安全习惯,将用户往更安全的行为上引导。那么这就是最好的最理想的产品安全。

16.2 业务逻辑安全

需要在满足业务需求的同时保障业务的逻辑安全,形参一个完整的安全链。

16.3 账户是如何被盗的

账户被盗的途径:

q  网站登录过程中无HTTPS,密码在网络中被嗅探

q  用户电脑中了***,密码被键盘记录软件所获取

q  用户的登录钓鱼网站,密码被欺骗

q  网站的登录入口可以被暴力破解

q  网站密码取回流程存在逻辑漏洞

q  网站存在XSS漏洞,用户帐号被间接窃取

q  网站存在SQL漏洞,网站被******导致用户账号信息泄露

 

16.4 互联网的垃圾

需要防御“垃圾注册”和僵尸账号

防御手段:

q  注册验证码

q  注册需要邮箱或者短信验证

16.5 关于网络钓鱼

网络钓鱼泛滥原因:

q  制作成本低廉,经济利益大,犯罪追踪困难。

q  静态、单向用户名/口令认证体制:网络用户需要向网站服务器提交身份心事,认证用户信息,却无法认证网络服务器身份信息。

q  网站身份认证简单,容易被窃取。

 

钓鱼网站防御:

q  建立反钓鱼的统一战线

q  在浏览器识别钓鱼网站

q  找到一个唯一的客户端信息,贯穿于整个网上支付流程的所有平台,保证订单是有订单创建这本人支付。

16.6 用户隐私保护

保护用户隐私:

q  用户有知情权和选择权

q  网站需要妥善保管收集到的用户数据,不得将数据用于任何指定范围以外的用户