如何评估网络产品的整体安全性？

Question

背景:我一直在寻找一个简单的应用程序来记录我的孩子们的人生里程碑。

我已经注册了几个免费服务，并试图评估他们的服务。我评估了易用性、速度、潜在成本等.但是在这个过程中，我开始怀疑这些服务中哪一个实际上是“安全的”。我所说的安全是指我的帐户信息(如密码)和儿童数据(图片、视频等)。储存在一个完全未知的地方。

因此，我试图追踪其中一些应用程序的起源，但这似乎比我想象的要困难。大多数应用程序都没有任何关于它们在国外的信息。当我开始看到一些网站的语言选择(有些我甚至认不出来)时，我真的开始怀疑了。当我注意到其中一些内容“看起来很相似”(主题等等)时，我也很怀疑。

所以要绕回去。在评估网络产品的安全性时，可以使用哪些因素？是否有一种简单的方法可以将应用程序追溯到受信任的公司？最安全的做法是使用一个知名的网站，比如Facebook或Google+，尽管它们的功能对特定需求的需求是有限的？

Answer 1

在评估网络产品的安全性时，可以使用哪些因素？是否有一种简单的方法可以将应用程序追溯到受信任的公司？

这是一个基于意见的问题，但我仍然为给出一个非常非客观的答案而道歉。

你会如何回答你自己的问题，一个完全不同的服务--比如说，一家房屋翻新公司，还是一辆汽车？大多数问题不会有太大的不同。

我可以想到一些参数，其中大多数都是SE上的非主题：

• 品牌实力:数量有其自身的质量。而大公司和知名品牌如果搞砸了，就会有更多的预算和更多损失。所以总的来说，你想要一个大到不能让你失望的人。是的，对一家大公司来说，一个孤独的、甚至是非常愤怒的客户是一个可以忽略不计的麻烦--但事实是，作为一个个体，除了非常非常小的初创企业之外，你对每个人都是一个小麻烦。把自己从“小”降到“微不足道”，就能买到一个不会忽视更大问题的更大实体的优势。
• 品牌“诚恳”：一项自称“谷歌”或“谷歌”的服务很可能是不好的，或者至少有严重的营销问题。这很可能转化为对一切事物过于轻率的态度，包括安全和隐私。因此，我同意，不同服务之间的相似之处被认为是可疑的(或者可能表明大量使用标准的免费工具来开发网站，这反过来可能表明一个小规模的操作，“看看它是如何进行的”)。
• 在顾客中的声誉:这在现实生活中相对容易，特别是在一个每个人都认识其他人的小镇。这才是关键-知道。在互联网上，你需要上网才能找到人们对某事的看法。我通常使用以下经验法则：
  • 没有意见:这种服务或产品大多是未知的。小心处理。
  • 很多不好的意见，很少有好的意见:可能是一个错误的选择，即使我想阅读其中的几个意见来理解他们所指的时间框架/版本/上下文。在你的例子中，你可能会有很多人怒不可遏，因此，如果不能上传来自FooPhone 1.2x的自拍，或者其他一些你并不看重的特性，你会感到愤怒。那些你会抛弃的观点。
  • 一些好的意见，没有任何坏的意见:我会有点怀疑。已知有几家公司和服务部门尝试并成功地删除了糟糕的评论，而不是其中的原因。
  • 具有相似的措辞、语法结构(和错误)或结构的好的意见:另一个非常糟糕的迹象，一个人谁买了好的评论批发。如果被“正常”的好意见所淹没，这可能是一个判断上的错误，早就被修正了。如果大多数好的意见都是星化，那就离他妈的远点。

• 产品/服务质量:这个，只有你可以评估。
  • 其他类似的服务/产品？
  • 什么不同？它们重要吗？

• 技术童话：
  • 网站是妥善保护吗？
  • 它使用某种第三方审查吗？
  • 如果你注册并伪造你的密码，你会得到什么？
    • 一封电子邮件，里面有你的旧密码:我要用甘道夫的建议。
    • 一封只有几个小时有效的“重置你的通行证”链接的电子邮件:很好。
    • 如果你还假装丢失了电子邮件(例如，你撤销了电子邮件服务，忘记了它与网站的链接)，用服务支持按下这个情况是否解决了问题？如果是的话:坏兆头。如果他们需要通过安全手段证明身份:很好。如果他们不想解决的话:中-坏的案子。

• 其他信息
  • 联系页面，如果有，可以告诉一些关于公司的下落。
  • 域工具(如WHOIS和DNS查找)可以告诉您域的所有者、web服务器(S)的位置、web服务器的位置(S)；然后您可以调查同一域服务和服务器主机的其他客户。匿名或“受保护”的域名不利于信任，毫无疑问，低成本的服务器，可能托管在流氓国家，显然是一个非常坏的迹象。
  • 相同的工具可以告诉您什么时候第一次建立域。
  • Web Archive和Wayback Machine等工具可能用于查看域是如何发展的；它是否从销售二手车转向销售牙科手术建议；所有这些都是有价值的信息。