近日,网络上疯传CSDN被脱数据库,刷库一词随之进入公众视野.
继CSDN之后,陆续又有多家互联网公司用户数据泄露.
但据我所知,还有Alipay的用户数据及证书Key,扔在少数人手里拿着....
据传言,最早装B分享这份CSDN数据的,为迅雷ID:hzqedison
于12月21日上传至迅雷快传,随后被各种分享转发.

于此同时,网络安全再一次成为摆上桌面的话题.由网上疯传的各种站用户数据来看,已公开的数据无非是由SQL Injection攻击所导致的,web安全/sql注入等这些关键词也与此同时被推向关键词搜索的制高点,虽然说没有绝对安全的系统,只要你有应用,只要你运行,安全风险始终是伴随着生产过程一路狂奔而来.

CSDN的爆库门,虽然已得到官方的证实,CSDN官方也积极的采取了对应的措施,但还是不免要遭来狂骂各种骂声,具体可查阅 CSDN公告 http://dwz.cn/yPYY, 阅读楼下评论.
尽管各种站均存在或多或少的安全风险,下面我也浅谈一下web安全
------------------------------我是经典的分割线----------------------------
虽然,任何企业都会面临无穷无尽的各种风险,这其中除网络安全外,同时也存在着包括来自于 竞争者,盗窃,趋势,自然灾害等等等等.这里仅谈网络安全.
保持一个系统安全,包括但不限于下列若干事项:
1.对重要数据的备份.
2.基于软件的防御措施.如:定时升级系统.
3.培训员工以识别攻击目标及系统弱点.通常,很多公司不知道他们的系统弱点在哪里.....
4.使用日志及审计检查攻击或尝试攻击.
5.采取适当的激励政策,保持职员的忠诚,因为最危险的攻击可能来自内部.
-----------------------
对于网站而言,所能受到的安全威胁包括但不限于:
1.机密信息的泄露.
2.数据丢失及损坏.
3.数据被篡改.
4.程序错误.
5.拒绝服务.
6.否认自己系统存在风险.

当数据在网络上传递时,同样也存在泄露的风险,虽然我们的网络基于TCP/IP有着很好的性能,但这些数据分解为信息包,由一台一台设备相互传递最终到达目的地.在这个传递过程中,有关设备均可截留数据包获取内容.同样的,我们在系统登录页面中可以使用SSL,从而降低数据被解密的风险.当然,服务器增加了加密数据的负担,负载能力可能会若有下降,但对于如CSDN这样的公司而言,增加几台服务器也是很稀松的事情.
在设计web系统时,首先,无论是项目负责人还是企业,都应当以正确的心态为开端,计划系统可能遭遇的各种攻击,也就是在最开始的阶段,通过修改代码来减少安全问题发生的可能性.
另外,在安全性与可用性之间找到平衡,如,一个方案中提到用户登陆密码至少需要遍历3条登录框,每个框中密码不可相同,强制用户至少每月修改1次,密码存放为 MD5(MD5(MD5+salt)+salt)+....,虽然这样的系统可以称得上是安全,但我相信没有人会愿意使用它.

--------------------------我是毫不客气的分割线-------------------------------------

我们换个角度思考...最近爆出来的库,全部都是明文密码,我们是否可以猜测,这批爆库是由于瓷器国当局放出来的? 今年全国财政已经在第三季度基本实现了10万亿的目标,第四季度收款不放,再加上大环境恶劣,胡sir出手阔绰,拿着百姓的血汗说给了老美就给了,但人家都不领情.....
据可靠内部消息,某市GA局经费,12月的经费到12月29日仍未发放,没有落实....
ok,那么,我们是否可以猜测,某管理员负责收缴数据库,由于经费未落实,年终奖飘渺无期,出库碰壁,干脆一不做二不休,扔出来算了...赶巧年底GA没事做,找点事情,抓几个装B黑客,也好拿年终....
这种推测虽然有点扯,但在瓷器国,这是必然是合理的唯一途径,瓷器有瓷器的特色嘛..

当然,说一千道一万,数据安全,最终还是落在人...这种神奇的动物身上. 一切事在人为...