12月22日,CSDN數(shù)據(jù)庫(kù)泄密事件帶給互聯(lián)網(wǎng)世界忙碌的一天:上午網(wǎng)民忙著改密碼查網(wǎng)銀,下午忙著看熱鬧尋歡樂。盡管我們可以拿已經(jīng)犧牲的網(wǎng)站開心,統(tǒng)計(jì)所謂IT宅人密碼排行榜,統(tǒng)計(jì)IT宅人的夢(mèng)中情人姓名排行榜;但是業(yè)界還是會(huì)擔(dān)憂:“下一個(gè)被黑的是誰(shuí)?”
目前已經(jīng)證實(shí)的暴庫(kù)網(wǎng)站是CSDN和多玩游戲網(wǎng)兩家。這兩家網(wǎng)站都有較為深厚的技術(shù)實(shí)力,并具有一定規(guī)模。與以往不同,國(guó)內(nèi)過去主要的安全問題是掛馬盜號(hào),而這次是直接撬開大門。從相關(guān)技術(shù)和網(wǎng)站運(yùn)營(yíng)情況看,預(yù)計(jì)會(huì)有如下的影響:
一、中大型網(wǎng)站將提升硬件防護(hù)等級(jí)與隔離技術(shù)。
必須承認(rèn),近年來幾乎每家網(wǎng)站在硬件投入上都是非常吝嗇的。除了運(yùn)營(yíng)商、騰訊、金融企業(yè)、支付類網(wǎng)站、電商網(wǎng)站之外,在防火墻等設(shè)備投入上一般都是能省則省,數(shù)據(jù)庫(kù)與web共用一臺(tái)服務(wù)器的不在少數(shù)。從數(shù)據(jù)庫(kù)安全角度說,在物理上(網(wǎng)絡(luò)和硬件架構(gòu)上)將數(shù)據(jù)庫(kù)與web服務(wù)隔離最能有效保障數(shù)據(jù)庫(kù)安全。
二、加密技術(shù),如軟件加密、令牌技術(shù)將大行其道。
反思一下,我們目前的口令技術(shù)有多少年沒有進(jìn)步了?RSA、MD5這類486時(shí)代的加密技術(shù),在今天的存儲(chǔ)器運(yùn)算能力、云計(jì)算能力面前還有多少作用?單機(jī)運(yùn)算可以比KEY的長(zhǎng)短,對(duì)于云就很難說了。對(duì)付玩云計(jì)算的黑客,只有用云安全的武器。但是軟、硬件安全要求提升,也意味著高額成本。
三、系統(tǒng)開放將成為經(jīng)營(yíng)之道。
就在去年幾乎所有網(wǎng)站經(jīng)營(yíng)者都還存在著一個(gè)自私的想法:一定要讓用戶在自己網(wǎng)站注冊(cè)。今天,不下于10萬(wàn)臺(tái)電腦上面都有CSDN的600萬(wàn)用戶數(shù)據(jù)了。那么,難道你擁有這600萬(wàn)CSDN用戶數(shù)據(jù)就意味著你主宰了IT社區(qū)了嗎?我們必須反思網(wǎng)站運(yùn)營(yíng)帶來的結(jié)果:我們經(jīng)營(yíng)的不是注冊(cè)ID而是真實(shí)的人組成的社區(qū),我們需要的是用戶習(xí)慣而不是沒有血肉的用戶數(shù)據(jù)。
重新認(rèn)識(shí)我們運(yùn)營(yíng)的網(wǎng)站,我們可以理解今年為什么都在談開放,為什么馬化騰敢開放和必須開放?梢岳斫鉃槭裁茨⒐浇帧⒚利愓f等網(wǎng)站神奇地發(fā)展,為什么有些網(wǎng)站一路下滑。就在不久前,許多社區(qū)型網(wǎng)站的內(nèi)部數(shù)據(jù)標(biāo)明:QQ登錄已經(jīng)占到30%以上。
四、QQ互聯(lián)等開放技術(shù)可能由此快速在中小網(wǎng)站普及。
昨天我們沒法接受一個(gè)ID沒有在我的網(wǎng)站上留有密碼,今天的CSDN用戶數(shù)據(jù)下載活動(dòng)如同當(dāng)年艷照門一樣歡樂,足以讓密碼成為燙手的山芋。
如果采用QQ登錄,登錄時(shí)網(wǎng)站不保存QQ密碼,也不知道QQ號(hào),不存在用戶信息泄露的風(fēng)險(xiǎn)。極復(fù)雜的多重密碼保護(hù)措施,密碼保護(hù)機(jī)制也可以交給騰訊搞定。多位網(wǎng)站站長(zhǎng)說過同一句話:“試問,你還有哪一個(gè)不是QQ用戶呢?”
我們可以推算出CSDN泄密事件的積極作用:推動(dòng)開放平臺(tái)的發(fā)展。
對(duì)于中小網(wǎng)站而言,與其抱殘守缺,不如該換思維——開放。開放就是專業(yè)的人做專業(yè)的事,開放就是拷問騰訊、拷問自己:中國(guó)互聯(lián)網(wǎng)能否建立起新的商業(yè)規(guī)則?