每个人都有自己的路,或正或偏,不管未来的路怎样,我觉得我依旧坚定不移的走安全这条道,安全如果就少数人重视是肯定不行的,国民们安全意识真的太差太差,这也导致网络各种低劣诈骗都能危害以万为单位的网民。。。现在的确不是什么技术公开分享的时代,但如果人人藏着掖着,那中国的技术又怎么可能有个大飞跃呢?
其实很多东西根本就没有什么技术含量,国人看下就能懂,就能防,对于这类的东西我觉得应该广泛的免费推广 ,安全绝不是只有搞安全的才要了解,每一个开发者都得了解一些,漏洞修补的再严也是有瑕疵的,就像人身上的疤一样,总会随着时间而逐个脱落,只有从底层注重才能从源头控制不安全的苗头 。
这也是为什么每次那你所基于的框架或者某个常用的模块一旦出现漏洞便会有一大片的用户受害,这就是所谓的底层效应,就像高楼一样,房子再好底层如果不牢固也是会轰然倒下,可能是现在的某一天,可能是未来的某一天,用比较古典的话来说也就是所谓的:“皮子不存毛将焉附!”
当然了,这些非常底层的不是每个人都能接触到的,而我所强调的也不是这些,就拿程序员来说吧,如果在开发过程中把每个异常都处理掉,把每个if else 都考虑并做好操作,不要以一种理性化的形式来编程,这样就可以解决大部分的安全性问题,也就是为什么会有业内的规范化了,单单知道一些规范是不够了,要时刻与时俱进才行,在这个过程种再贯彻一些安全的思想就会更完美了。其实也可以有效的预防一些不可预知性的问题(缓冲区溢出是个典型代表)
这个跟纵横防御有点类似了,多层安全防护要与时俱进,水的高度取决于那个最低的木板!其实安全有几个原则,比如最小权限,打个不恰当的比方:一个连长就管那几个人,那就不要给他管几百个人,权限是满足需要就行,大了不好。
记得我们班班长当时编了个日语成绩系统,然后让每个人去录自己的考试成绩,(一开始没考虑到权限),然后他们依次录,我嘛属于不甘寂寞的,自己不录自己的成绩却帮朋友们都录了个bbp,然后投影仪上全显示出来了,再后来就全班瞎搞,最后。。。(康康估计还不知道当时是我捣蛋呢 )这个例子也勉强属于是权限的例子了。
其实还有点要注意,那就是数据尽量跟代码分离,怎么说呢,先看看大趋势吧,html5,是不是摒弃了很多html原有的内嵌方法?现在编程是不是都经常分层分过程,一个一个的封装?这就是这个的部分体现了,这个可以有效的防一下注入类型的攻击,(XSS也算)。表现形式就是不要轻信客户端,客户端欺骗还是很蛋疼的一个话题。。。
其实安全的本质就是信任,怎么说呢,安全安全,不是浮根之萍,肯定得有所寄托,有你所信任的东西,而你所信任的东西是否可靠呢?再次打个比方,你特别信任一个人,什么东西都跟他说,你以为他可以帮你保密,可是他却到处说,演变成是个人都知道,这就不可靠了,同样的,安全是建立在信任的基础上的!
路嘛,每个人都会说,关键是持久,现在人比较浮躁,比较急于求成,有时候也会不自觉的带上那么点功利色彩。当然了,这是正常现象,自己多注意点就行了,比如我现在学的是网站制作,我虽然很喜欢网络安全这块,但我不可能直接把个专业就舍弃掉直接蹦到安全那边去,这个叫吃着碗里的想着锅里的,既然选择了就弄好,我是打算一步一步来,在这里也可以分享下我是怎么想的,先把专业提上去,然后把专业和安全相结合,接着扩展到WEB安全,然后正真进入安全的怀抱。这个过程虽然漫长,虽然艰辛,但我会继续走下去。
以下省略4000万字的自诉。。。。。。
每个人都在走死亡之路,浑浑噩噩的优哉游哉不如规范条理化的自由支配,生活绝不是只有工作和学习,生活就要TM的有激情,同志加油奋斗吧!!!
(2012是安全的一个分水岭)