初创团队,人少活多,产品还要马上上线。初期忽略安全问题,在未来会造成很大的隐患。
阿里云安全专家易鑫以自己经历过的很多案例,生动的讲述了创业公司经常会遇到的三类黑产威胁——DDoS攻击、数据泄露和业务欺诈等问题,同时也介绍了阿里巴巴集团十余年来,应对这些黑产威胁积累下来的技术和经验。他建议即便在创业初期也不能忘记安全,上线前一定要对应用进行渗透测试,及时修复应用的安全漏洞;搞促销和拉新活动时一定要设计好规则,以免被黑产薅了羊毛。即便遇到莫名其妙的大流量和异常连接也不要慌,还有阿里云作为创业者坚实的安全后盾。为了让更多的创业者能够从容面对黑产,阿里云已经把这些安全能力开放出来,任何的企业,不管在云上还是在云下,都可以很方便的使用。在现场易鑫与热情的Tech粉们交流了不少问题,像是域名安全和视频盗播盗链的问题,还有些Tech粉已经是阿里云的深度用户,提出了一些对云产品安全设计的建议,易鑫把这些问题和建议带回到团队,更好的改进阿里云的服务。要感谢Tech粉对技术的狂热!
《安全之痛:创业初期如何应对黑产威胁》易鑫 现场视频点击查看
近几年互联网蓬勃发展,黑灰产也走向集团化、产业化,移动端操作系统漏洞成倍增长,大量用户信息泄漏,给许多公司造成了大量资损,甚至导致部分公司业务无法正常开展,阻碍了App的发展;如何面对来着黑产方面的威胁,来自阿里巴巴安全部胡晓明也分享了很多方法,敏感信息的存储和传输必须加密,传输过程若使用https通信,须对证书进行验证;客户端代码尽量采用混淆和加固手段提高供给成本;重要服务端接口尽可能加入验证方式防止接口被刷;token等字段生成尽量采用多种拼接组合,防止被猜测和穷举;减少activity的导出,防止客户端内部的伪协议暴露。也包括如何做一个安全的App: 通过 SDL 和 部署安全审计工具来提升企业安全能力。SDL能更早的发现问题,更彻底的解决问题,也能积累安全能力。分享的过程也演示了阿里的iOS审计工具是如何使用的。
《让安全成为App发展的助力器》胡晓明 现场视频点击查看
分享结束后,现场Tech粉们积极与分享嘉宾交流,Tech君整理了最为关心三个问题:
初创公司为了保证App的安全性,应坚持那些基本原则?
首先是通信过程中,敏感数据必须加密传输,或者采用https通信,且验证证书;其次,本地存储敏感信息的时候必须进行加密;再次,尽量避免在App中开启一些很强大的功能,因为无法保证这些功能不被黑客利用;最后,还有很多方面,无法一一列举,请关注聚安全博客。
App在与服务器通信时,如何在保证通信流畅的同时,保证敏感数据不被泄漏?
只对敏感数据进行加密,或者只对带有敏感数据的接口采用https通信,并严格校验证书;加密级别可更具实际服务器可承受能力进行选择。
HTTPS通信要如何设置才能保证不被中间人攻击?
https通信可分为三个级别:level1:不导入可信证书的情况下可中间人攻击;level2:导入可信证书的情况下可中间人攻击;level3:导入可信证书的情况下不可中家人攻击;
没有特殊要求的情况下,建议做到level2,具体请见聚安全博客。
关注云栖Techday,请来钉钉群,Tech粉们一起交流学习,嘉宾PDF群内分享。
【云栖Techday】
即云栖技术分享日,以云栖小镇为主阵地,由阿里云联合众多合作伙伴主办,针对云计算、大数据、智能制造、移动开发、网络安全等多个领域顶级技术专家的技术分享,让创业者第一时间在云栖了解世界前沿技术。云栖
techday
自举办以来,有运维专家、大数据专家、硬件大伽,还有
intel
的黑科技、歼十机副总工分享的各个行业的尖端技术,云栖
Techday
将会展开马拉松式的技术普及,为热爱技术的朋友提供一个交流
&
分享技术观点、碰撞精彩火花的平台。
更多往期内容请到官方【云栖Techday】 专题中查看。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。