编辑导语:大数据的发展加速了社会的信息、资源流动,使社会运转效率更高,同时也隐藏着巨大的隐患。大量看似中性无害的数据收集以后,也可能会产生有害的后果。本文就数据安全一事展开了思考,教我们保护好自己的隐私。推荐对数据安全感兴趣的用户阅读。
文章插图
在互联网时代,数据安全与个人隐私受到了前所未有的挑战,如何才能更好地保护好我们的数据和用户隐私?下面将阐述在产品设计时就需要注意的数据安全和个人隐私的场景。
目录:
一、用户信息安全1. 合法收集用户信息《中华人民共和国网络安全法》中,对于收集用户信息,作出了详细的政策,下面将列出关键的几点:
- 在用户注册或登录时(游客模式也需要)需要明确的让用户同意 “ 隐私政策” ,且有更新的时候需要用户二次确认。
- 当使用的功能需用到用户的敏感信息或权限时,需要用户的明确授权。
- 拿到用户数据后保证个人数据安全,不被非法处理、窃取、损毁。
二、平台使用安全1. 注册和登录(1)人机验证
为了区别用户是真人还是程序,人机验证服务可有效拦截机器,保证业务的安全。
人机验证一般适用于注册、登录、短信、论坛等高风险的业务场景。
一般有以下几种方式:
方式一:随机字符验证
文章插图
方式二:算数验证码
方式三:滑块验证码
文章插图
(2)登录态有效期
对于有敏感操作的平台,比如腾讯云,开发者一般都有增删改查数据库、增删改查cos文件存储等权限,如果用户在规定时间内没有任何操作(比如1小时),登录态应直接失效,下次操作要重新登录。
如果用户在规定时间内有操作,则登录态可以续期延长。
(3)频率限制
建议登陆接口需要具备频率限制能力,以防被暴力破解。
2. 需求阶段对输入的严格定义【 用户|后滴滴时代,论产品经理的安全意识】比如注册阶段,一个手机号码只能注册一个账号、密码强度的规定、用户姓名不能重复、用户姓名不能含有特殊字符等等,这些措施可以在一定程度上保证用户信息的安全。
再比如,一个可以执行SQL代码查看数据的框,如果不做好输入的校验,很可能会被恶意执行一些sql语句,导致数据丢失、更改。
3. 关键操作在用户执行一些关键敏感操作时,比如发布公众号文章、发送平台公告等,建议需要有一个身份认证,比如短信验证码认证、公众号随机码认证。
操作完成后最好要有一个提醒,比如资金交易完成后的交易完成提醒。
4. 敏感数据的显示对于用户个人的敏感数据,比如用户余额、股票等数据,最好有显示/隐藏按钮,以免数据泄漏。
对于含有公司敏感数据页面,建议页面打上用户id水印。
5. 权限控制有敏感功能的平台,建议都要有一套权限体系。比如公司的电商管理后台,发布商品、删除商品、查看用户信息、查看订单信息等功能权限。
权限设计建议采用最小化原则,一般不允许管理平台对所有用户开放访问。
对于转岗/已离职的员工,要及时把权限移除。
6. 操作日志用户的每一个操作,最好都要有记录,如果以后发生了数据被误删、用户需要查询操作记录等,就可以追溯。一般用户的一个操作,要记录以下信息:用户id、操作时间、操作接口、请求数据、响应数据等。
操作日志保存时间建议是半年以上。
7. 防盗用如果页面内容比较重要,可禁止用户复制页面内容。图片也可设置防盗链,可禁止其他网站内嵌本网站的远程图片。(当然这种办法稍懂点计算机的都能破解,这里只是能防一部分人,更安全的做法这里就不展开讨论了)
8. 防止cookie被携带到第三方服务一般我们会用cookie来存储用户的登录态,同时我们也可能会使用一些第三方服务,比如可能会使用一些前端测速监控服务、埋点统计服务。
我们在前端调用这些第三方服务时,如果第三方没有声明禁止携带用户cookie,cookie是会被携带过去的,如果用户cookie被带过去,那么就存在用户信息被泄漏和被模仿操作的风险。
- 用户流失|用户流失,该怎么分析?
- MIUI|超多阉割!升级MIUI 13后,这些功能彻底没了
- 电池|iPhone11及以上更换非原装电池之后,怎么取消通知弹窗?
- |装宽带师傅:拒绝使用用户自己买的七类网线
- 中国联通|微信“一哥”坐不住了?阿里社交黑马崛起,坐拥4亿用户,厉害了
- 跑分|刘强东承诺五年后送套房,京东的001号快递员如今怎么样了?
- realme|三星、苹果远远落后,国产黑马量产新技术,150W快充刷新行业纪录
- ARM|东芝就位:20TB硬盘雨后春笋般的来了
- 心跳|吴京代言后中兴爆发,也要自研芯片了?红魔红芯1号将亮相
- Windows11|三星用户有福了?发布会文件遭泄密,新机提供4个安卓版本更新!