劍心：我覺得技術(shù)人才首先要有對問題本質(zhì)的探求，對技術(shù)本身有一種渴望，而不應(yīng)該單單把技術(shù)當(dāng)做一種職業(yè)，如果對技術(shù)有更高的要求和對更本質(zhì)的東西有渴望了解，那么成長起來就會很快，我覺得最高效的學(xué)習(xí)就是對未知事物的興趣，安全領(lǐng)域里有一句話Hack to learn，挺對的，人人都應(yīng)該當(dāng)Hacker :)

　　主持人：請結(jié)合您的切身體會談?wù)剟?chuàng)業(yè)路上您都有哪些收獲和思考，對于如今越來越多想要投身創(chuàng)業(yè)大海的年輕人，有什么建議?

　　劍心：我目前覺得整個互聯(lián)網(wǎng)是偏浮躁的，能夠踏實做事的人太少了，創(chuàng)業(yè)遇到的問題和磨難要比想象中要多很多，現(xiàn)在我都不建議年輕人創(chuàng)業(yè)，如果真要創(chuàng)業(yè)那能力上是不只在技術(shù)上有所要求，更多的要去了解行業(yè)和提升技術(shù)之外的視野和能力，這個不在一些大的公司或者跟隨一些團隊一起經(jīng)歷是成長不起來的;

　　主持人：對想在技術(shù)路線上走得更遠的人，您都有什么建議和忠告?推薦一些您覺得非常不錯的資料或者書籍吧。

　　劍心：我很支持大家在技術(shù)路線走得更遠，特別是那些符合自身性格的人，我聽到的很多人都是做技術(shù)到一定時候就轉(zhuǎn)管理或者其他崗位，我覺得這是一種比較偏浮躁的想法，建議就是跟隨自己的內(nèi)心了，多堅持一定有收獲的;

　　互動環(huán)節(jié)：烏云和360有合作嗎?你們會對同行進行漏洞檢測嗎?

　　劍心：我們在技術(shù)分享上會有合作，都是開放的對整個互聯(lián)網(wǎng)分享安全知識，可以在http://drops.wooyun.org 看到，我們會關(guān)注互聯(lián)網(wǎng)的安全，所以只要是和互聯(lián)網(wǎng)相關(guān)的我們都會關(guān)心，并不存在會關(guān)注什么不會關(guān)注什么的問題;

　　互動環(huán)節(jié)：你好，能分享一個信息數(shù)據(jù)是如何泄漏的案例么?

　　劍心：數(shù)據(jù)本身是有價值的，數(shù)據(jù)一旦有價值就會有人去嘗試攻擊，攻擊者可能會利用多種方式，傳統(tǒng)的可能就是商業(yè)間諜行為，但是目前更常見的有人利用流程或者管理漏洞的漏洞對數(shù)據(jù)進行竊取，常見的譬如APT滲透，SQL注射或者一些人員離職都可能會導(dǎo)致問題;

　　互動環(huán)節(jié)：系統(tǒng)檢測機制 是不是類似于FM保險公司的各種風(fēng)險機制一樣 建立一個標準?

　　劍心：系統(tǒng)的檢測機制并不是一個標準化的內(nèi)容，因為技術(shù)本身也是多樣化的，所以更多的也要以服務(wù)和根據(jù)技術(shù)特點來采取方案。

　　互動環(huán)節(jié)：我們對白帽子服務(wù)有興趣，請問怎么聯(lián)系和購買服務(wù)。

　　劍心：http://ce.wooyun.org 可以看看

　　互動環(huán)節(jié)：關(guān)于最近網(wǎng)上流傳的烏云和360互黑，請問這個您怎么看?

　　劍心：我沒有聽說烏云和360互黑的問題，起碼烏云沒有做這個事情 ：)

　　互動環(huán)節(jié)：對于互聯(lián)網(wǎng)創(chuàng)業(yè)公司，從搭建項目開始就應(yīng)該注意安全問題，但是項目快速發(fā)展以及安全投入預(yù)算又比較少，如何能較低成本發(fā)現(xiàn)自身的安全問題，并獲得解決方案呢?您有什么建議呢。

　　劍心：互聯(lián)網(wǎng)公司的確早期會更多關(guān)注快速發(fā)展而相對安全滯后，這是正常的思維也是我提到的安全的原罪，我建議是在項目不需要開始就引入很重的安全而是發(fā)展到一定的階段一定要引入安全，這個時候可以借助第三方的服務(wù)譬如烏云來低成本解決問題，在更后期的發(fā)展里就可以嘗試自己創(chuàng)建團隊了。

　　互動環(huán)節(jié)：“作為游戲研發(fā)企業(yè)，能不能在外網(wǎng)開發(fā)的環(huán)境下，避免代碼泄漏到外面，導(dǎo)致私服的出現(xiàn)?” 有啥好的建議?

　　劍心：能詳細說下外網(wǎng)開發(fā)是什么意思么?

　　問：我們現(xiàn)在開始是分內(nèi)網(wǎng)和外網(wǎng)，內(nèi)網(wǎng)即公司內(nèi)部局域網(wǎng)，外網(wǎng)即公網(wǎng)可以自由訪問網(wǎng)絡(luò)!

　　劍心： OK，這種是典型的一個互聯(lián)網(wǎng)數(shù)據(jù)防護的case，本質(zhì)還是要做好運維和數(shù)據(jù)的授權(quán)和訪問控制，在引入二次驗證和精粒度的訪問控制基礎(chǔ)上，你可以考慮如何讓你的代碼變得沒有價值或者利用價值變低，這樣可以杜絕掉這種私服的問題。

　　問：“你可以考慮如何讓你的代碼變得沒有價值或者利用價值變低”這句怎么理解?

　　劍心：譬如 用戶的手機號是有價值的 但是如果你在數(shù)據(jù)里脫敏去掉這些 就不會有人對你的這個數(shù)據(jù)有興趣了。如果你的代碼無法讓別人搭建私服 或者 搭建私服無法獲利就不會有人對這個有興趣了 具體的得去根據(jù)具體的業(yè)務(wù)考慮了。要從業(yè)務(wù)角度解決，印象中典型的例子是暗黑破壞神 早期很多破解版 但是最新那一款基本沒有破解版 做成了saas模式?？考夹g(shù)對抗是不可以的 還是要把技術(shù)深入到業(yè)務(wù)里 ：)

 3/4   首頁 上一頁 1 2 3 4 下一頁 尾頁