高效能程序员的修炼札记:安全基础,保护用户数据

简介: 高效能程序员的修炼札记:安全基础,保护用户数据

前言:现如今,各种网站用户安全问题不断爆发,很多用户的密码被网站曝光出来,安全是互联网的一个老生常谈的话题,为什么用户的密码这么容易被破解呢,首先,作为我们开发者来说,我们要想尽办法提高用户数据的安全性,同时保证用户体验效果。


所有网络通信都应该加密吗


很显然随着互联网的高速发展,在作者的眼里,https已经提高了很大的性能,实现ssl的通信已经变得不再让人那么沮丧,那么我们一般的网站可以尝试去使用https通信,不过https需要有ca的认证证书,需要花费一定的金钱,而如果不是CFCA签发的证书,浏览器在访问的时候会提醒你,证书不安全。

https不再是奢侈品(CPU的运算能力得到了提高,我们都知道,使用https通信需要使用到加密算法,而加密算法一般都比较耗时,然而伴随着摩尔定理,计算机处理能力在发展,那么使用https通信将不会降低用户的体验能力)

https意味着没人能在互联网监视你(我略微了解一些http和https的区别,就是https底层是通过ssl对客户端到服务端传递的数据进行加密处理,这样就保证你的数据在网络传输过程中不再透明)

https现在变得更快了(虽然https在这座看来还有很多亟待解决的问题,但是的确实现https通信已经变得非常可行,我最近在实现期货交易平台和华夏银行的对接,使用的https通信方式也让我获得不少在https通信上的经验)


防范字典式攻击


随着服务器能力的处理,相对于那些需要在网络上探索别人用户信息的网站来,其能力也得到了提高。如果你的密码长度是单纯的字母或者数字,并且长度有限,那么被破解已经变得轻而易举。


限制每个用户的登录次数是安全领域的101.


也许你可能不了解101,但是这句话的意思就是说,对于网站设计者来说,限制用户的登陆次数是行之有效的解决办法。我们的web管理后台就会限制用户的登陆次数,如果连续登陆五次都失败了,就会锁定用户,可以通过管理员解锁,也可能等到你下次登陆成功时解锁,并且会限定你在被锁定后多长时间内不得再次尝试。


以上的方法暂时是不赖的,但是作者还提出来一种新颖的办法,就是

第一次失败

没有延迟

第二次失败

延迟2s

第三次失败

延迟4s

第四次失败

延迟8s

我觉得这种方法更加人性化,给一些“真正”的用户去想起他们正确密码的机会,但同时降低暴力破解。


快速哈希


看了本章我才明白,原来MD5的哈希算法已经这么落伍了,竟然很不安全了;另外密码如果只是单纯的数字或者字母的话,如果长度还不够的话,简直就等于没设置。


那么作为网站的设计者以及网络的使用者来说,我需要:

密码长度超过12位,并且包含大小写字母、数字、特殊符号

使用PBKDF2或者bcrypt。


关于网络密码的可怕真相


作为一个编程人员,我以前也经常会为每个网站保存一个密码,由于密码众多,我需要在电脑上保存一个用户名和密码,以及对应的网站,但是后来我抛弃了这些用户名和密码,因为他们用起来太过糟糕,我经常记不起来之前的密码。互联网的发展帮助我解决了这个问题,现如今,一些网站会让你通过QQ、新浪进行登录,而不再是它原始的用户名和密码,这让我感到有些许安全感,毕竟新浪和QQ的安全设施应该会更好一点。


所以你也要学会保护你的用户名和密码,尽量使用知名企业的用户名和密码去登录别的网站。


另外作为开发者,我在以后也要去提供这种机能。

相关文章
|
Java Spring
NoClassDefFoundError: com/fasterxml/jackson/annotation/JsonMerge【已解决】
NoClassDefFoundError: com/fasterxml/jackson/annotation/JsonMerge【已解决】
111 0
|
7月前
|
编解码 前端开发 UED
如何巧妙利用CSS3,打造炫酷视觉效果
在使用CSS3打造炫酷视觉效果时,要注意适度使用,避免过度设计导致页面过于复杂和混乱,影响用户的阅读和浏览体验。同时,要确保所使用的效果在不同的浏览器和设备上具有良好的兼容性,以提供一致的视觉效果。
163 1
|
9月前
|
消息中间件 canal 关系型数据库
Maxwell:binlog 解析器,轻松同步 MySQL 数据
Maxwell:binlog 解析器,轻松同步 MySQL 数据
893 11
|
人工智能 Linux 云计算
【专访阿里云】云智融合转型期,国产服务器操作系统路在何方?
在云智融合转型趋势引领服务器操作系统迭代升级的时期,国产服务器操作系统社区该如何应对?
|
存储 缓存 运维
【运维知识高级篇】一篇文章带你搞懂Git!(Git安装+全局配置+Git初始化代码仓库+Git四大区域+Git四种状态+Git常用命令+Git分支+Git测试代码回滚)
【运维知识高级篇】一篇文章带你搞懂Git!(Git安装+全局配置+Git初始化代码仓库+Git四大区域+Git四种状态+Git常用命令+Git分支+Git测试代码回滚)
380 0
|
缓存 编译器 API
NumPy与其他语言(如C/C++)的接口实践
【4月更文挑战第17天】本文介绍了NumPy与C/C++的接口实践,包括Python与C/C++交互基础、NumPy的C API和Cython的使用。通过案例展示了如何将C++函数与NumPy数组结合,强调了内存管理、类型匹配、错误处理和性能优化的最佳实践。掌握这些技能对于跨语言交互和集成至关重要。
|
Kubernetes 监控 Cloud Native
开源项目推荐
探索 Kubernetes 工具和资源:Kubernetes Goat 提供了一个有漏洞的集群来学习安全实践;kube-state-metrics 收集集群状态指标以辅助监控;Goldilocks 优化 Kubernetes 资源请求;KubePlus 从 Helm 图表创建 Kubernetes API;kubecm 管理 kubeconfig 文件更便捷。
|
小程序 Java 数据库
8套三级医院应用的管理系统源码,直接上项目,HIS、LIS、PACS
8套应用于二级医院、三级医院医院管理系统源码,均有自主知识产权,应用案例,系统稳定运行中。
858 1
8套三级医院应用的管理系统源码,直接上项目,HIS、LIS、PACS
|
机器学习/深度学习 算法 搜索推荐
【C++修行之道】竞赛常用库函数(sort,min和max函数,min_element和max_element、nth_element)
【C++修行之道】竞赛常用库函数(sort,min和max函数,min_element和max_element、nth_element)
|
传感器 物联网 开发者
【STM32基础 CubeMX】定时器的使用
【STM32基础 CubeMX】定时器的使用
782 0