【云栖Techday】App安全保卫战，第一战精彩内容回顾

  初创团队，人少活多，产品还要马上上线。初期忽略安全问题，在未来会造成很大的隐患。


  阿里云安全专家易鑫以自己经历过的很多案例，生动的讲述了创业公司经常会遇到的三类黑产威胁——DDoS攻击、数据泄露和业务欺诈等问题，同时也介绍了阿里巴巴集团十余年来，应对这些黑产威胁积累下来的技术和经验。他建议即便在创业初期也不能忘记安全，上线前一定要对应用进行渗透测试，及时修复应用的安全漏洞；搞促销和拉新活动时一定要设计好规则，以免被黑产薅了羊毛。即便遇到莫名其妙的大流量和异常连接也不要慌，还有阿里云作为创业者坚实的安全后盾。为了让更多的创业者能够从容面对黑产，阿里云已经把这些安全能力开放出来，任何的企业，不管在云上还是在云下，都可以很方便的使用。在现场易鑫与热情的Tech粉们交流了不少问题，像是域名安全和视频盗播盗链的问题，还有些Tech粉已经是阿里云的深度用户，提出了一些对云产品安全设计的建议，易鑫把这些问题和建议带回到团队，更好的改进阿里云的服务。要感谢Tech粉对技术的狂热！
《安全之痛：创业初期如何应对黑产威胁》易鑫 现场视频点击查看


  近几年互联网蓬勃发展，黑灰产也走向集团化、产业化，移动端操作系统漏洞成倍增长，大量用户信息泄漏，给许多公司造成了大量资损，甚至导致部分公司业务无法正常开展，阻碍了App的发展；如何面对来着黑产方面的威胁，来自阿里巴巴安全部胡晓明也分享了很多方法，敏感信息的存储和传输必须加密，传输过程若使用https通信，须对证书进行验证；客户端代码尽量采用混淆和加固手段提高供给成本；重要服务端接口尽可能加入验证方式防止接口被刷；token等字段生成尽量采用多种拼接组合，防止被猜测和穷举；减少activity的导出，防止客户端内部的伪协议暴露。也包括如何做一个安全的App: 通过 SDL 和 部署安全审计工具来提升企业安全能力。SDL能更早的发现问题，更彻底的解决问题，也能积累安全能力。分享的过程也演示了阿里的iOS审计工具是如何使用的。
《让安全成为App发展的助力器》胡晓明 现场视频点击查看





分享结束后，现场Tech粉们积极与分享嘉宾交流，Tech君整理了最为关心三个问题：


初创公司为了保证App的安全性，应坚持那些基本原则？
首先是通信过程中，敏感数据必须加密传输，或者采用https通信，且验证证书；其次，本地存储敏感信息的时候必须进行加密；再次，尽量避免在App中开启一些很强大的功能，因为无法保证这些功能不被黑客利用；最后，还有很多方面，无法一一列举，请关注聚安全博客。

App在与服务器通信时，如何在保证通信流畅的同时，保证敏感数据不被泄漏？
只对敏感数据进行加密，或者只对带有敏感数据的接口采用https通信，并严格校验证书；加密级别可更具实际服务器可承受能力进行选择。

HTTPS通信要如何设置才能保证不被中间人攻击？
https通信可分为三个级别：level1:不导入可信证书的情况下可中间人攻击；level2:导入可信证书的情况下可中间人攻击；level3:导入可信证书的情况下不可中家人攻击；
没有特殊要求的情况下，建议做到level2，具体请见聚安全博客。


关注云栖Techday,请来钉钉群，Tech粉们一起交流学习，嘉宾PDF群内分享。


【云栖Techday】 即云栖技术分享日，以云栖小镇为主阵地，由阿里云联合众多合作伙伴主办，针对云计算、大数据、智能制造、移动开发、网络安全等多个领域顶级技术专家的技术分享，让创业者第一时间在云栖了解世界前沿技术。云栖 techday 自举办以来，有运维专家、大数据专家、硬件大伽，还有 intel 的黑科技、歼十机副总工分享的各个行业的尖端技术，云栖 Techday 将会展开马拉松式的技术普及，为热爱技术的朋友提供一个交流 & 分享技术观点、碰撞精彩火花的平台。
更多往期内容请到官方【云栖Techday】 专题中查看。