第16章 互联网业务安全

16.1 产品需要什么样的安全

安全是一个独立的，应该与业务持平。

16.1.1 互联网产品对安全的需求

安全性是产品特性的一个组成部分，具备了安全性，产品才是完整的；安全做好了，产品才是最终正真的成熟。

16.1.2 什么是好的安全方案

我认为好的方案是：

q  人性化

q  智能化

q  性价比高

再次强调，安全是产品的一种特性，如果产品能够潜移默化地培养用户的安全习惯，将用户往更安全的行为上引导。那么这就是最好的最理想的产品安全。

16.2 业务逻辑安全

需要在满足业务需求的同时保障业务的逻辑安全，形参一个完整的安全链。

16.3 账户是如何被盗的

账户被盗的途径：

q  网站登录过程中无HTTPS，密码在网络中被嗅探

q  用户电脑中了木马，密码被键盘记录软件所获取

q  用户的登录钓鱼网站，密码被欺骗

q  网站的登录入口可以被暴力破解

q  网站密码取回流程存在逻辑漏洞

q  网站存在XSS漏洞，用户帐号被间接窃取

q  网站存在SQL漏洞，网站被黑客入侵导致用户账号信息泄露

16.4 互联网的垃圾

需要防御“垃圾注册”和僵尸账号

防御手段：

q  注册验证码

q  注册需要邮箱或者短信验证

16.5 关于网络钓鱼

网络钓鱼泛滥原因：

q  制作成本低廉，经济利益大，犯罪追踪困难。

q  静态、单向用户名/口令认证体制：网络用户需要向网站服务器提交身份心事，认证用户信息，却无法认证网络服务器身份信息。

q  网站身份认证简单，容易被窃取。

钓鱼网站防御：

q  建立反钓鱼的统一战线

q  在浏览器识别钓鱼网站

q  找到一个唯一的客户端信息，贯穿于整个网上支付流程的所有平台，保证订单是有订单创建这本人支付。

16.6 用户隐私保护

保护用户隐私：

q  用户有知情权和选择权

q  网站需要妥善保管收集到的用户数据，不得将数据用于任何指定范围以外的用户