我们如何重视用户数据安全?

坚果云一直将”安全”做为最重要的目标之一. 不幸的是, “安全”二字标榜起来容易, 真要做到, 颇为艰难. 最近的一件工作就反映了这个情况.

百度对于大部分使用”https”访问的安全页面都不收录, 造成我们的主页迟迟不能出现在搜索引擎的首页结果上.  我们想了各种办法, 包括 “为百度爬虫指定单独的HTTP页面”, “通过百度的各个工具提交页面”,  “比对同类型网站的主页”, “咨询认识的百度的朋友”, 得出的结论是最好将主页制定为http版本, “见效快, 疗效好”, 同时主页打开的速度还够快.

不过我们仍在坚持使用https版本做为登录主页. 否则,  登录后的用户一旦直接在浏览器中输入”jianguoyun.com”,  用户身份信息(cookie)将直接明文传输. 如果用户处在不安全的网络环境, 例如咖啡店, 星巴克, 机场, 或者其他使用代理上网的场合,  只需一个简单工具, 用户数据将瞬间可以被其他人访问.

甭管用了什么本地加密, 也甭管用了多复杂的密码, 只要一个链条松动, 用户放在”云存储”中的数据将瞬间暴露. 这是做一个”安全云存储”困难的地方, 也是我们为什么将”安全”做为最重要的目标之一.

BTW: 有认识百度爬虫团队的人吗? 我们还在继续寻找解决办法.

我们如何重视用户数据安全?》有7个想法

      1. quark

        如果把用户身份信息的 cookie 存在一个只能用 https 的二级域名上就可以解决问题了吧。

        自动登录可以这样:由一个顶级域名的 cookie 标记需要自动登录,但不记录用户身份信息,然后发现这个 cookie 就跳转到上述二级域名 https 进一步验证。

CzBiX进行回复 取消回复

电子邮件地址不会被公开。