互联网业务安全

一个项目营销因素的优先级：

1. 功能是否能按原定的设计实现
2. 性能
3. 可用性
4. 是否按原定计划上线
5. 可维护性
6. 安全
   互联网产品对安全的需求

---

什么是好的安全方案

1. 良好的用户体验
2. 优秀的性能

安全是产品的一种特性，如果我们的产品能够迁移默认地培养用户的安全习惯，将用户往更安全的行为上引导，那么这样的安全就是最理想的产品安全了。 密码修改需要提供之前密码

---

账户被盗取的途径

1. 网站登录过程中无HTTPS，密码在网络中被嗅探
2. 用户电脑中了木马，密码被键盘记录软件所获取
3. 用户被钓鱼网站所迷惑，密码被钓鱼网站所骗取
4. 网站某登陆入口可以被暴力破解
5. 网站密码去回流程存在逻辑漏洞
6. 网站存在XSS等客户端脚本漏洞
7. 网站存在sql注入等服务器端漏洞
   SPF技术对抗邮件地址伪造

---

钓鱼网站的防控

1. 控制钓鱼网站传播的途径，就能对钓鱼网站实施有效的打击。建立一个反钓鱼的统一战线。google的safe browsing api 直接打打击钓鱼网站，关停站点
2. 用户教育
3. 自动化识别钓鱼网站

---

网购流程钓鱼

不需要输入密码可直接进行银行卡扣款，贯穿不同平台的唯一标识是订单号。订单中只包含了商品信息，但缺少创建订单用户的相关信息。这是网上支付流程中存在的一个重大设计缺陷。

---

用户隐私保护

如何保护用户的隐私

1. 首先，用户应该用户知情权和选择权
2. 其次，网站应该妥善保管手机到的用户信息，不得将数据用于任何指定范围以外的用途。