当今互联网行业,特别是初创公司雨后春笋般,大部分公司对安全的重视、投入或者理解都是不足的。如此导致,没有事故其乐融融,一旦出事慌慌张张。亡羊补牢不是我们的出路,未雨绸缪,防患未然才是。最近把书重新翻了翻,挑出一些比较容易被忽视的点给大家也给自己刷新一下#安全#观念。黑名单是非常不好的设计思想设计安全方案的基本原则,中文翻译“默认安全”不太好理解,其实就包含两层含义:白名单/黑名单思想,和最小权限原则。两者从字面就比较好理解,这里必须特别强调一下“尽量更多的使用白名单,少用黑名单”,这样可以保证安全的范围可控,权限最小。比如制定Web服务器的防火墙策略,正确做法是只开放80和443端口,屏蔽除