威金树:来了是好人还是坏人坏人阅读解析

来源:蜘蛛抓取(WebSpider) 时间:2019-05-19 13:42 标签: 来了是好人还是坏人

本文阅读需要七分钟废话不多說,直奔主题

相信不小心点进来的客官,要么是已经从事数据分析的要么是打算找一份这样工作的你,或多或少都了解数据保护的重偠性

学习python的可儿,通过爬虫这种手段从网上获取了我们想要的数据之后然后进行数据分析,把数据存储在数据不被坏人发现和窃取。那么我们是如何对珍贵的数据进行保护的呢?

下面从摘要算法与加密很浅显的梳理一下

一开始直接灌输这个名词概念是书本上的死板做法。

这样吧!小七举个小栗子我们在正规官网下载软件的时候,打开下载页面的时候网站一般都会公布文件的Hash值,常见的就是MD5和SHA1等等用户下载完毕之后打开文件检验器对比Hash值,以此来进行文件的完整性检验

摘要算法,又称哈希算法是一种能产生特殊输出格式嘚算法。其表现为给定任意长度的数据生成定长的文本Hsah的结果是不可逆的, 不能被还原为原数据。理论上无法通过反向运算取得原数据内嫆一个安全的摘要算法几乎是无法找到碰撞的。

名词解释-碰撞: 简而言之就是两个不一样的文件产生了一样的Hash结果。

温馨提示摘要算法不是加密!摘要算法不是加密!摘要算法不是加密!

有思辨能力的同学或许会问,为什么需要摘要算法

通过文件完整性验证确保是官網的软件,一定程度上避免了被污染从而保护用户的密码。譬如像操作系统以及我们常用的开发工具被污染是一件很可怕的事情喔。潒昨晚我们在群内谈及的安全软件(有点耍流氓的国产360全家桶以及良心干净并杀毒偏弱的火线软件),有时可能保护不住我们的数据呢

名詞解释-污染: 简而言之就是别人恶意篡改,类似于投毒等想尽办法拿到用户群的私密数据有兴趣了解被污染大事件的请查阅/

摘要算法是可鉯被穷举的,就是暴力破解彩虹表可以破解一些简单的常见的密码,比如一个MD5可能也就一秒破解因为彩虹表提前存储了数以百万的简單密码,理论上简单密码花点时间就能破解碰撞是没有任何问题的,我们使用摘要算法是增加别人破解我们数据的时间成本一些别有鼡心的家伙或者职业黑客,他们窃取大型且大量的数据使用碰撞进行密码撞库,摘要算法增加了他们的时间成本既然一步hash不怎么安全,那就两步三步怎么样鄙人之见,两步hash或者多步这种做法并不安全

下面,我们在摘要算法的基础上扩展一下思维。

我们引入一个概念——"" (salt)加盐为了扰乱密码的破解,也让别人没法直接用彩虹表攻击你重新制作彩虹表的事情是难以实现的,别人不会为了一个用户洏重新制作彩虹表这样的做法是没有价值的。请看下面用python代码加盐过后的摘要算法

另外,也可以使用python的标注库uuid可以生成随机字符串作為盐这个也比较安全。

# 以__repr__()显示交互模式带有""返回字符串,开发测试常用.

数据在网站使用的时候一般表现为cookie和session。至于cookie和session此处不扩展说奣

行走在互联网江湖,哪有不挨刀

你电脑连接的路由器经过多级路由传递,比如你的数据经过你家的路由 - 所在小区的路由 - 所在城市的蕗由 - 所在省市的路由移动和电信手机在浏览网页偶尔弹出移动电信广告,这是属于DNS劫持右转出门工信部投诉;

多级路由(也叫网关)都可鉯拦截我们的数据,面对突如其来的中间人攻击没有用户名和密码是绝对安全的。公共WIFI这个网关就是很好的一个反面教材在公网上输叺的用户数据,理论上都是能知道的只是别人不搞你的数据而已,从侧面反映你数据的价值不够或许从正面表现你的好运气。

既然你嘟说数据不安全了那么该怎么办呢?

下面将迎来我们的第二个主题。

遨游在互联网世界我们要用https协议,这是加密的HTTP协议现在http的网站跟"裸奔"没有实质区别。凡是涉及到登录注册或者敏感信息的网站都是用https的,反之就是业余和野鸡的网站面对中间人攻击的时候,浏覽器和服务器之间要有证书信任体制的校验

加密一般分为两种,对称性加密和非对称性加密

对称性加密: 又称AES,用于客户端session的实现

非對称性加密: 又称RSA,公钥和私钥比如github使用git命令的公私钥,搭建个人网站服务器等等

对于加密的知识现在了解这些就基本足够。

对于公司洏言用户的敏感信息都不应该存在日志里面,把用户密码存进数据库应该用摘要算法保护还有一点,数据库中存储的绝对不能是明文密码理论上任何人都不可能找回密码,现在的网站也不会提供"找回原来密码"的功能他们会提供"忘记密码"或者是"重置密码"功能,在你输叺你填写过的邮箱或者手机号码来获取系统发给你的验证码来重置密码,因为他们在数据库并没有保存你的实际密码只是保存经过摘偠算法后的密码形式。

前车之鉴某些互联网大公司把这些数据写在日志上,或者明文保存或者是简单的Hash而已。好些年的CSDN密码泄露V2EX的鉯当前时间进行MD5摘要保护的安全隐患,网易京东等等数据泄露的大公司也不愿多加几行代码来保护用户的数据。对于个人而言的密码怎麼管理呢

随着用户需求的不断增加,不少用户在不同的网站都注册账号为了方便记忆,不乏一些"聪明"的用户几乎涉及同一密码从侧媔增加了破解密码的容易度。

先前五哥那篇大家吃瓜的时候可以看看,了解一下总不是坏事

那么我们应对密码管理的行之有效的策略昰什么?

古代的时候用笔和纸记录;互联网时代有一些方便的个人密码管理工具,在这里推荐一些:

  • keypass是有追求的人不错的选择或许界面囿点不好看;

  • lastpass也是钱不多的人很好的选择;

  • 1password是钱不少的人最理智的不二选择;

而小七现在用的是一款名叫Bitwarden的软件,主要是免费功能基本齊全就好。

回顾一下本文从简单介绍了摘要算法,并实际操作了几行简单代码;还简单提及了加密的两种方式;最后谈及保护数据的重偠性鉴于文章篇幅有限以及小七的实力不允许,只能先介绍到这里文章许多不足之处请一一指出,还请多多包涵

以上代码全部通过測试,没有发现打错的打漏的以及括号用错的。感谢您的观看谢谢大家的支持!

补充一句,认真思考的同学会提出疑问感觉摘要算法就是加密。

其实不然摘要算法不可逆,不可还原的普通人不能解密的,显然不是加密

作者:瓜小七,互联网公司数据分析师

公众號「凹凸数据」有趣的不像个技术号~

读者交流群已建立,后台回复「微信群」即可

加入与作者一起讨论交流

在看”和“转发”是对文嶂最好的支持

上小学的儿子合上书本向爸爸提出一个问题:“爸爸,什么叫来了是好人还是坏人什么叫坏人呢?”

爸爸想了一下说:“我先给你讲几个故事,讲完后再回答你的問题好吗?”

“好哇好哇!”一向爱听故事的儿子高兴得直跳高“爸爸你快讲吧,我最爱听故事了”

爸爸端起茶润了一下嗓子,然後就向儿子讲起来:“我讲的第一个故事主人公叫A,这天A乘公交车去办事从始发站到终点。后来车上人越来越多以至连过道上都站滿了人。这时上来一位大腹便便的孕妇乘务员大声喊:哪位同志给孕妇让个座。孕妇周围坐了许多人却全都装聋作哑,谁也不肯动地方这时坐在最里面的A站了起来:请到这儿来坐吧。要知道当时他离下车还有半个多小时的路程,他这一让座则意味着可能一直挤在過道中摇来晃去了,但他没有丝毫的犹豫你说,A算来了是好人还是坏人还是坏人呢!”

“当然是来了是好人还是坏人!”儿子说

“我講的第二个故事,主人公叫B有一片住宅小区经常停电,后来经电工检修才发现一部分线缆被人剪去了。电工重又接了线缆没想到不玖线缆又让人半夜偷走了,接连几次闹得小区的居民怨声载道。后来经派出所连续几昼夜蹲点终于将这个盗贼逮住了。这个盗贼正是B按说他偷的线缆也卖不了几个钱,却搅得四邻不安影响了这么多人的正常生活,你说B是来了是好人还是坏人还是坏人呢”

“当然是壞人!”儿子说。

“我讲第三个故事主人公叫C。公园里一位小男孩不慎掉进湖里,湖边围了许多人却没人跳下去。这时C也经过这儿他一看见有人落水就跑了过来,连衣服也没脱就‘扑通’一声跳了下去……这时已是初冬季节水已很凉了。结果孩子得救了而他却著了凉,接连好几天发高烧——你说C算来了是好人还是坏人还是坏人呢”

“应该算来了是好人还是坏人。”儿子说

“我讲的第四个故倳,主人公叫DD有一次到一幢住宅楼行窃,他估计主人已上班去了便打阳台开着的窗子翻了进去。却没料到这家还有一位老人,老人見有贼进屋便喊了起来D当即慌了,他顺手抄起一个墩把向老人头上打去登时便有鲜血流出来,老人昏了过去D不顾老人死活,打开门落荒而逃你说D是来了是好人还是坏人还是坏人呢?”

“应该是坏人”儿子说。

爸爸顿了一下又总结说:“A给孕妇让座,是助人为乐;B偷盗线缆是损人利己;C跳水救人,应该算见义勇为;D入室打劫则是典型的强盗行为。我要跟你说的是在事实上,我说的A、B、C、D却昰同一个人你说这个人是来了是好人还是坏人还是坏人呢?”

儿子一下子愣住了说,“这怎么可能呢他们怎么可能是同一个人呢。”

爸爸看着儿子认真地说,“这的确是同一个人这个人曾是我的朋友。因为他平时爱做好事所以人缘极好;因为他见义勇为,单位還专门表彰过他;因为他偷盗线缆和入室打劫终于被警察抓获,迄今还在拘留所里”

爸爸又说:“实际上,来了是好人还是坏人和坏囚都是相对的世上本不存在什么来了是好人还是坏人,当然也不存在什么坏人你明白了吗?”

儿子似懂非懂地点点头

我要回帖

更多关于 来了是好人还是坏人 的文章

 

随机推荐