【云栖Techday】App安全保卫战,第一战精彩内容回顾-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

【云栖Techday】App安全保卫战,第一战精彩内容回顾

2016-03-27 17:49:10 11776 6
  初创团队,人少活多,产品还要马上上线。初期忽略安全问题,在未来会造成很大的隐患。


  阿里云安全专家易鑫以自己经历过的很多案例,生动的讲述了创业公司经常会遇到的三类黑产威胁——DDoS攻击、数据泄露和业务欺诈等问题,同时也介绍了阿里巴巴集团十余年来,应对这些黑产威胁积累下来的技术和经验。他建议即便在创业初期也不能忘记安全,上线前一定要对应用进行渗透测试,及时修复应用的安全漏洞;搞促销和拉新活动时一定要设计好规则,以免被黑产薅了羊毛。即便遇到莫名其妙的大流量和异常连接也不要慌,还有阿里云作为创业者坚实的安全后盾。为了让更多的创业者能够从容面对黑产,阿里云已经把这些安全能力开放出来,任何的企业,不管在云上还是在云下,都可以很方便的使用。在现场易鑫与热情的Tech粉们交流了不少问题,像是域名安全和视频盗播盗链的问题,还有些Tech粉已经是阿里云的深度用户,提出了一些对云产品安全设计的建议,易鑫把这些问题和建议带回到团队,更好的改进阿里云的服务。要感谢Tech粉对技术的狂热!
《安全之痛:创业初期如何应对黑产威胁》易鑫 现场视频点击查看


  近几年互联网蓬勃发展,黑灰产也走向集团化、产业化,移动端操作系统漏洞成倍增长,大量用户信息泄漏,给许多公司造成了大量资损,甚至导致部分公司业务无法正常开展,阻碍了App的发展;如何面对来着黑产方面的威胁,来自阿里巴巴安全部胡晓明也分享了很多方法,敏感信息的存储和传输必须加密,传输过程若使用https通信,须对证书进行验证;客户端代码尽量采用混淆和加固手段提高供给成本;重要服务端接口尽可能加入验证方式防止接口被刷;token等字段生成尽量采用多种拼接组合,防止被猜测和穷举;减少activity的导出,防止客户端内部的伪协议暴露。也包括如何做一个安全的App: 通过 SDL 和 部署安全审计工具来提升企业安全能力。SDL能更早的发现问题,更彻底的解决问题,也能积累安全能力。分享的过程也演示了阿里的iOS审计工具是如何使用的。
《让安全成为App发展的助力器》胡晓明 现场视频点击查看





分享结束后,现场Tech粉们积极与分享嘉宾交流,Tech君整理了最为关心三个问题:


初创公司为了保证App的安全性,应坚持那些基本原则?
首先是通信过程中,敏感数据必须加密传输,或者采用https通信,且验证证书;其次,本地存储敏感信息的时候必须进行加密;再次,尽量避免在App中开启一些很强大的功能,因为无法保证这些功能不被黑客利用;最后,还有很多方面,无法一一列举,请关注聚安全博客。

App在与服务器通信时,如何在保证通信流畅的同时,保证敏感数据不被泄漏?
只对敏感数据进行加密,或者只对带有敏感数据的接口采用https通信,并严格校验证书;加密级别可更具实际服务器可承受能力进行选择。

HTTPS通信要如何设置才能保证不被中间人攻击?
https通信可分为三个级别:level1:不导入可信证书的情况下可中间人攻击;level2:导入可信证书的情况下可中间人攻击;level3:导入可信证书的情况下不可中家人攻击;
没有特殊要求的情况下,建议做到level2,具体请见聚安全博客


关注云栖Techday,请来钉钉群,Tech粉们一起交流学习,嘉宾PDF群内分享。


【云栖Techday】 即云栖技术分享日,以云栖小镇为主阵地,由阿里云联合众多合作伙伴主办,针对云计算、大数据、智能制造、移动开发、网络安全等多个领域顶级技术专家的技术分享,让创业者第一时间在云栖了解世界前沿技术。云栖 techday 自举办以来,有运维专家、大数据专家、硬件大伽,还有 intel 的黑科技、歼十机副总工分享的各个行业的尖端技术,云栖 Techday 将会展开马拉松式的技术普及,为热爱技术的朋友提供一个交流 & 分享技术观点、碰撞精彩火花的平台。
更多往期内容请到官方【云栖Techday】 专题中查看。


取消 提交回答
全部回答(6)
  • 阿里团队
    2016-04-22 11:16:02
    学习了,谢谢分享。
    0 0
  • 云栖福利菌
    2016-04-13 16:45:20
    干货!赞啊!
    0 0
  • 文鑫
    2016-04-01 00:47:34
    学习
    0 0
  • shiguang
    2016-03-28 23:30:36
    Re【云栖Techday】App安全保卫战,第一战精彩内容回顾
    据内部消息马化腾一直在关心关于百度开放云愚人节的内容!
    0 0
  • 零云科技
    2016-03-27 18:48:30
    学习了
    0 0
  • 西秦说云
    2016-03-27 17:58:15
    学习了~
    0 0
滑动查看更多
相关问答

145

回答

【新手入门】云服务器linux使用手册

fanyue88888 2012-11-26 17:14:18 157687浏览量 回答数 145

110

回答

OSS存储服务-客户端工具

newegg11 2012-05-17 15:37:18 295540浏览量 回答数 110

33

回答

Win Server 2003-2016 加密勒索事件必打补丁合集

妙正灰 2017-05-15 10:44:38 280382浏览量 回答数 33

38

回答

安全组详解,新手必看教程

我的中国 2017-11-30 15:23:46 259828浏览量 回答数 38

294

回答

Linux Bash严重漏洞修复紧急通知(已全部给出最终修复方案)

qilu 2014-09-25 13:26:50 434572浏览量 回答数 294

82

回答

OSS入门教程

belle.zhoux 2014-07-07 17:14:27 151452浏览量 回答数 82

249

回答

阿里云LNAMP(Linux + Nginx + Apache + MySQL + PHP)环境一键安装脚本

云代维 2014-02-14 15:26:06 305626浏览量 回答数 249

24

回答

【精品问答】python技术1000问(1)

问问小秘 2019-11-15 13:25:00 475628浏览量 回答数 24

2

回答

区域选择帮助

fanyue88888 2012-12-07 15:54:30 204386浏览量 回答数 2

13

回答

游戏云精彩帖汇总

nono20011908 2014-08-22 11:00:12 203965浏览量 回答数 13
+关注
9
文章
36
问答
问答排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载