以下段落摘自 http://security.chinaitlab.com/aqzx/956071.html
"网络安全技术上固然复杂繁琐,但是技术问题不可怕,可怕的是意识问题。 我们在工作中间无论是无心还是有意的,没有把用户隐私放到一个神圣的地位来对待。用户本身也不会发现,你平常去一个网站,你很可能使用的就是你支付宝的密码, 如果这个网站保存下来了,你根本就察觉不到, 如果被泄露了, 在现行法律下,执法机构抓不到黑客的话,也很难追究到网站的责任,这个苦水就只有自己吞了。
而在国外, 身份窃取或者是信用卡诈骗都是联邦重罪, 为了预防和打击可能的犯罪,信用卡公司和金融机构每年投入大量的经费,联合治理网络支付安全。其中最着名的是 PCI-DSS compliance 以及信用卡3D验证,其中PCI 是预防信息泄漏, 3D是防止盗取信息者牟利。
什么是PCI-DSS呢? 携程的这个接口属于站内支付,在国际上有一个标准是用来管理支付网站安全的,简称是PCI compliance, PCI就是 Payment Card Industry, DSS就是data storage security--数据安全,PCI这个标准要求非常高,是需要时事更新的。提供PCI验证服务的公司通常会多方面地地毯式扫描,会找出各类漏洞, 还要你在申请的时候严格申明不能保存不该存的信息,以及不可以不使用 SSL 加密数据传输(避免数据嗅探)。我以前自己的网站申请过first data等公司的站内支付服务,PCI将我折磨地不行,而且每3个月都需要更新一次。明天我会写一篇自己小白时期申请PCI的惨痛经历。
再说一下3D验证, 这个在不同国家有不同的做法,多数是通过大数据检验你是否是在常用设备和IP上登录,以及你的行为是否正常(盗取paypal的黑客即便是在被盗用户自己的机器上都有可能在提现时被锁号) 如果不是的话弹一个小窗,需要输入更加隐私的信息, 可以是银行的密码保护问题,也可能是生日,社会保险号等,目的是验证使用者确实是你。
以上两路大招加起来是否能完全避免信息泄露的损失呢? 当然也做不到100%绝对安全, 但是至少这体现了一种态度和意识。国内大多数公司平常不把安全落实到实处, 得过且过,顺其自然。 等到出了问题的时候再修复和危机公关。我相信携程一定有能力做到完全的PCI compliance 并且时时刻刻保持更新, 也有这个实力去把网络安全措施做到国际水准,但是它却没有做到,就跟大多数其他网站一样。那为什么没有机构去监管这样的行为呢? 在一个连地沟油毒奶粉没有FDA这样的严格标准监管的地方,PCI确实不是一个性价比高的东西,还不如花点钱多投点广告来点流量更实际。"
扫一扫
3394
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
