06 | HttpDNS和TLS：你的消息聊天真的安全吗？

消息安全性问题我记得大规模爆发的经典案例应当是当年的QQ尾巴吧？QQ使用近20年，手机端这块可能因为工作相关特性基本不太接触，不过我个人认为其实其一定程度上还是和PC类类似吧。毕竟手机就是一台Mimi的computer.对于老师说的我还是整体谈一下个人的见解吧； 其实近15年爆发的安全问题无非出自几方面： 一类是：客户端；主要表现形式1）弱密码 如简单设置数字就OK，结果被人破解了 2）非安全网络环境下上网 如蹭网、网吧上网时中毒 3）链接非安全，QQ尾巴就是经典案例，此三种是最普遍的； 一类是服务器端： 1）连接数不限：其实这是个问题；造成QPS过高且不能确定是否是本人登录；故而像QQ或者某些在线教育的基本上都有严格的限制 2）网络安全：这个应当算是个老问题，举个例子吧：例如很多人家里东西被偷无非还是自己没有把门锁好、或者用了个最普通的门或者锁；不然为何为了安全现在会用防盗门 3）系统安全：各种补丁和问题爆发时你不注意不去强化，造成出问题。4）实时监控：网络异常、数据包异常时其实就说明有问题了 这就像现在商店商城都用监控一样。 一个是应用程序：最经典的案例就是SQL注入，其实追其本源无非就是几个因素吧；1）省事完成了再说，没想到结果就被人利用了，其实老师所说的加密我印象里数据库端国内真正开始做是那次事件爆发之后再有的 2）数据传输时的安全性：举个个人觉得比较好的方式吧，消息中间件kafka这块我认为做的就还算不错，3）敏感过滤：其实不只是敏感词、甚至敏感链接吧。 其实这些年尤其是2000后网络开始普及后：各种问题层出不穷，这也是为何监管越来越严格；DNS之类的其实真正挖下去肯定是有问题的，我们只能尽力避免一些常规问题，做好防患未然；这就像谷歌的 SRE有句很经典的话“没有问题是有问题的特殊形态”。网络这块深聊下去老师的课程就改成网络安全了 。 谢谢老师的辛勤付出：期待老师的下节课的分享。

TLS 能识别客户端模拟器仿冒用户真实访问的问题吗？如果不能有什么其他更好的办法？ 答： TLS 是传输层的加密协议，是用来保证消息传输过程中不被截获、篡改和伪造的，但是无法识别仿冒的真实用户。 客户端模拟器如果像真实用户一样来访问服务端，其实是没有必要去识别的，因为此时模拟器一般是为了帮助真实用户做一些事情，没有恶意行为；如果存在恶意行为，进行识别的办法是通过机器学习的方式进行识别，例如：客户端模拟器会频繁发送消息，针对这一特征，可以对线上访问流量进行甄别。

老师，问个im问题，服务端采用读扩散，比如A用户在群里面撤回了一条消息，B用户离线上线怎么收到这条已经撤回的消息，还有个问题群消息是异步mq入库成功后再推送吗，也就是推送的代码要放到mq里面，插入数据库成功后再推送吗？谢谢

你好，对于账号密码存储那块有个问题，如果每个账号密码拥有一个单独的盐（随机的？）那如何验证登录呢？

请问如果走localDns，应用层还走http协议么？一般IM消息系统会用到http协议么

老师，对消息内容（主要考虑文本），进行加解密的话，综合考虑性能，一般用什么技术来加解密比较好呢？

老师，如果需要在服务端存储消息内容，是加密后存储，下推离线消息时，解密之后再推送给用户？ 不知道微博消息内容，是使用对称还是非对称加密？

老师，问个问题，您上面说的保证传输链路安全（中断、截获、篡改、伪造）是如何去发现这些问题呢？

老师你好，请问端到端的加密方式，总不可能每一条消息的发送和接收都采用公私钥做加解密吧？是不是也要通过密钥交换算法来协商一个对称密钥？如果这样，因为连接不是直接建立在用户A和用户B之间，他们是如何做密钥交换的？

老师节日快乐