代码在其他地方的安全性如何

时间:2010-07-04 04:12:01

标签: security

我最近正在参加我们创业公司的会议。半小时,我正在听取团队中的一位关键人物谈论时间表,市场,保密性,首先在那里等等。但是我不禁问自己这个问题:所有关于机密性的讨论都很好,但没有太多关于物理安全的讨论。我们正在处理的这件事是由网络托管的。如果在将其上传到webhost之后,有人走进服务器机房(甚至不知道它在哪里)并抓取代码和数据库的副本。数据库是加密的,但是有了访问机器的权限,你就拥有了密钥。

大男孩们为防止代码被盗而做了什么?创业公司在一些私人数据中心自己托管或者什么?有没有人知道已知的创业公司做过什么,比如digg等?任何人都有关于这个问题的第一手经验吗?

4 个答案:

答案 0 :(得分:4)

很少有人对您的源代码感兴趣。在您的主机上工作的系统管理员很可能在此组中。可能不是这样,他们可以复制您的代码,将其粘贴到另一台主机上并启动并运行,在42分钟内窃取您的客户。

如果您要存储用户联系信息(甚至更极端的财务信息)等内容,人们可能会对查看数据库内容感兴趣。你怎么防范这个?做简单的,独立于主机的事情(比如将密码存储为哈希,将财务数据卸载到金融服务提供商,HTTPS / SSL等),并确保使用具有良好声誉的主机。像Amazon (with AWS)RackSpace这样的地方如果发现他们经常让员工离开客户(您的)数据,就会很快失败。

大男孩怎么做?他们有自己的基础设施(像谷歌,雅虎等地方),或者他们使用主要参与者之一(亚马逊AWS,Rackspace等)。

其他创业公司如何做到这一点?我记得听说Stack Overflow拥有他们自己的基础设施(细节,任何人?)。 Digg上的This old piece表示他们自己也在运行。这两个实例并不意味着所有(甚至大多数)初创公司都有内部基础架构。

答案 1 :(得分:3)

托管业务中的大多数大型企业都在其服务器上拥有可靠的安全策略。一些非常先进的技术可用于保护大多数高端数据中心。

检查我使用的主机的安全性 http://www.liquidweb.com/datacenter/

答案 2 :(得分:2)

  

如果在将其上传到虚拟主机后,有人走进服务器机房(甚至不知道它在哪里),并抓取代码和数据库的副本。数据库是加密的,但是有了访问机器的权限,你就拥有了密钥。

然后你被搞砸了:-)即使是colo或租用的服务器也应该是一个仅限授权访问的策略,该策略是在站点上实际执行的。当然,这并不妨碍任何人获得“超级秘密”代码。为此,聘请昂贵的律师并获得保险。

答案 3 :(得分:1)

通过在同一系统上共享用户帐户,您可以更加担心。它可以在没有问题的情况下完成,但是你比控制整个系统更不安全。

确保您的代码为chmod 500,甚至是chmod 700,只要最后2个为零,那么您的生活就更好了。如果您执行chmod 777,则系统上的每个人都可以访问您的文件。

然而,仍有问题。 Linux内核中的漏洞会使攻击者访问所有帐户。 MySQL中的漏洞会使攻击者访问所有数据库。通过拥有自己的系统,您就不必担心这些攻击。