开发者社区> 问答> 正文

【云栖Techday】App安全保卫战,第一战精彩内容回顾

  初创团队,人少活多,产品还要马上上线。初期忽略安全问题,在未来会造成很大的隐患。


  阿里云安全专家易鑫以自己经历过的很多案例,生动的讲述了创业公司经常会遇到的三类黑产威胁——DDoS攻击、数据泄露和业务欺诈等问题,同时也介绍了阿里巴巴集团十余年来,应对这些黑产威胁积累下来的技术和经验。他建议即便在创业初期也不能忘记安全,上线前一定要对应用进行渗透测试,及时修复应用的安全漏洞;搞促销和拉新活动时一定要设计好规则,以免被黑产薅了羊毛。即便遇到莫名其妙的大流量和异常连接也不要慌,还有阿里云作为创业者坚实的安全后盾。为了让更多的创业者能够从容面对黑产,阿里云已经把这些安全能力开放出来,任何的企业,不管在云上还是在云下,都可以很方便的使用。在现场易鑫与热情的Tech粉们交流了不少问题,像是域名安全和视频盗播盗链的问题,还有些Tech粉已经是阿里云的深度用户,提出了一些对云产品安全设计的建议,易鑫把这些问题和建议带回到团队,更好的改进阿里云的服务。要感谢Tech粉对技术的狂热!
《安全之痛:创业初期如何应对黑产威胁》易鑫 现场视频点击查看


  近几年互联网蓬勃发展,黑灰产也走向集团化、产业化,移动端操作系统漏洞成倍增长,大量用户信息泄漏,给许多公司造成了大量资损,甚至导致部分公司业务无法正常开展,阻碍了App的发展;如何面对来着黑产方面的威胁,来自阿里巴巴安全部胡晓明也分享了很多方法,敏感信息的存储和传输必须加密,传输过程若使用https通信,须对证书进行验证;客户端代码尽量采用混淆和加固手段提高供给成本;重要服务端接口尽可能加入验证方式防止接口被刷;token等字段生成尽量采用多种拼接组合,防止被猜测和穷举;减少activity的导出,防止客户端内部的伪协议暴露。也包括如何做一个安全的App: 通过 SDL 和 部署安全审计工具来提升企业安全能力。SDL能更早的发现问题,更彻底的解决问题,也能积累安全能力。分享的过程也演示了阿里的iOS审计工具是如何使用的。
《让安全成为App发展的助力器》胡晓明 现场视频点击查看





分享结束后,现场Tech粉们积极与分享嘉宾交流,Tech君整理了最为关心三个问题:


初创公司为了保证App的安全性,应坚持那些基本原则?
首先是通信过程中,敏感数据必须加密传输,或者采用https通信,且验证证书;其次,本地存储敏感信息的时候必须进行加密;再次,尽量避免在App中开启一些很强大的功能,因为无法保证这些功能不被黑客利用;最后,还有很多方面,无法一一列举,请关注聚安全博客。

App在与服务器通信时,如何在保证通信流畅的同时,保证敏感数据不被泄漏?
只对敏感数据进行加密,或者只对带有敏感数据的接口采用https通信,并严格校验证书;加密级别可更具实际服务器可承受能力进行选择。

HTTPS通信要如何设置才能保证不被中间人攻击?
https通信可分为三个级别:level1:不导入可信证书的情况下可中间人攻击;level2:导入可信证书的情况下可中间人攻击;level3:导入可信证书的情况下不可中家人攻击;
没有特殊要求的情况下,建议做到level2,具体请见聚安全博客


关注云栖Techday,请来钉钉群,Tech粉们一起交流学习,嘉宾PDF群内分享。


【云栖Techday】 即云栖技术分享日,以云栖小镇为主阵地,由阿里云联合众多合作伙伴主办,针对云计算、大数据、智能制造、移动开发、网络安全等多个领域顶级技术专家的技术分享,让创业者第一时间在云栖了解世界前沿技术。云栖 techday 自举办以来,有运维专家、大数据专家、硬件大伽,还有 intel 的黑科技、歼十机副总工分享的各个行业的尖端技术,云栖 Techday 将会展开马拉松式的技术普及,为热爱技术的朋友提供一个交流 & 分享技术观点、碰撞精彩火花的平台。
更多往期内容请到官方【云栖Techday】 专题中查看。


展开
收起
tech君 2016-03-27 17:49:10 12459 0
6 条回答
写回答
取消 提交回答
  • 学习了,谢谢分享。
    2016-04-22 11:16:02
    赞同 展开评论 打赏
  • 干货!赞啊!
    2016-04-13 16:45:20
    赞同 展开评论 打赏
  • 学习
    2016-04-01 00:47:34
    赞同 展开评论 打赏
  • Re【云栖Techday】App安全保卫战,第一战精彩内容回顾
    据内部消息马化腾一直在关心关于百度开放云愚人节的内容!
    2016-03-28 23:30:36
    赞同 展开评论 打赏
  • 爱好建站
    学习了
    2016-03-27 18:48:30
    赞同 展开评论 打赏
  • 码农|Coder| Pythonista
    学习了~
    2016-03-27 17:58:15
    赞同 展开评论 打赏
滑动查看更多
问答排行榜
最热
最新

相关电子书

更多
女性移动App安全攻防战 立即下载
汇聚云计算的生态核能——云市场,云上APP Store 立即下载
千万级用户直播App——服务端架构设计和思考 立即下载