12月22日,CSDN数据库泄密事件带给互联网世界忙碌的一天:上午网民忙着改密码查网银,下午忙着看热闹寻欢乐。尽管我们可以拿已经牺牲的网站开心,统计所谓IT宅人密码排行榜,统计IT宅人的梦中情人姓名排行榜;但是业界还是会担忧:“下一个被黑的是谁?”
目前已经证实的暴库网站是CSDN和多玩游戏网两家。这两家网站都有较为深厚的技术实力,并具有一定规模。与以往不同,国内过去主要的安全问题是挂马盗号,而这次是直接撬开大门。从相关技术和网站运营情况看,预计会有如下的影响:
一、中大型网站将提升硬件防护等级与隔离技术。
必须承认,近年来几乎每家网站在硬件投入上都是非常吝啬的。除了运营商、腾讯、金融企业、支付类网站、电商网站之外,在防火墙等设备投入上一般都是能省则省,数据库与web共用一台服务器的不在少数。从数据库安全角度说,在物理上(网络和硬件架构上)将数据库与web服务隔离最能有效保障数据库安全。
二、加密技术,如软件加密、令牌技术将大行其道。
反思一下,我们目前的口令技术有多少年没有进步了?RSA、MD5这类486时代的加密技术,在今天的存储器运算能力、云计算能力面前还有多少作用?单机运算可以比KEY的长短,对于云就很难说了。对付玩云计算的黑客,只有用云安全的武器。但是软、硬件安全要求提升,也意味着高额成本。
三、系统开放将成为经营之道。
就在去年几乎所有网站经营者都还存在着一个自私的想法:一定要让用户在自己网站注册。今天,不下于10万台电脑上面都有CSDN的600万用户数据了。那么,难道你拥有这600万CSDN用户数据就意味着你主宰了IT社区了吗?我们必须反思网站运营带来的结果:我们经营的不是注册ID而是真实的人组成的社区,我们需要的是用户习惯而不是没有血肉的用户数据。
重新认识我们运营的网站,我们可以理解今年为什么都在谈开放,为什么马化腾敢开放和必须开放。可以理解为什么蘑菇街、美丽说等网站神奇地发展,为什么有些网站一路下滑。就在不久前,许多社区型网站的内部数据标明:QQ登录已经占到30%以上。
四、QQ互联等开放技术可能由此快速在中小网站普及。
昨天我们没法接受一个ID没有在我的网站上留有密码,今天的CSDN用户数据下载活动如同当年艳照门一样欢乐,足以让密码成为烫手的山芋。
如果采用QQ登录,登录时网站不保存QQ密码,也不知道QQ号,不存在用户信息泄露的风险。极复杂的多重密码保护措施,密码保护机制也可以交给腾讯搞定。多位网站站长说过同一句话:“试问,你还有哪一个不是QQ用户呢?”
我们可以推算出CSDN泄密事件的积极作用:推动开放平台的发展。
对于中小网站而言,与其抱残守缺,不如该换思维——开放。开放就是专业的人做专业的事,开放就是拷问腾讯、拷问自己:中国互联网能否建立起新的商业规则?
|