亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

網(wǎng)絡(luò)安全事件頻發(fā),最后卻成了用戶的錯(cuò)?

責(zé)編:admin |2014-10-15 16:24:29

  我說(shuō)的不是類(lèi)似Heartbleed、BadUSB、Shellshock這種天災(zāi)級(jí)別的漏洞,面對(duì)這類(lèi)漏洞,普通用戶就像面對(duì)臺(tái)風(fēng)海嘯一般,無(wú)法抵御。

  我想說(shuō)的是iCloud艷照門(mén),Snapchat艷照門(mén)、Yahoo郵箱用戶資料泄露以及最新未證實(shí)的Dropbox用戶資料泄密事件,它們屬于人力可挽救的事故。這些公司大多不在中國(guó),但具備一種典型意義。換句話說(shuō):討論它們,也能對(duì)國(guó)內(nèi)產(chǎn)生借鑒意義。

  你會(huì)發(fā)現(xiàn),這些什么門(mén)啊、泄密啊,其實(shí)都有共通之處。那就是:廠商聲明,此事與我們無(wú)關(guān),應(yīng)該都是用戶的錯(cuò)?;蛘呷趺艽a,或者濫用第三方應(yīng)用,或者直接不知情。

  iCloud艷照門(mén),原因評(píng)估是因?yàn)橛脩羧趺艽a,通過(guò)iCloud上可以用腳本程序反復(fù)測(cè)試直接獲得正確密碼;Snapchat艷照門(mén),原因評(píng)估是用戶在使用一個(gè)名為“Snapsave”的第三方應(yīng)用,這個(gè)應(yīng)用可以保存Snapchat上的“閱后即焚”照片,它的數(shù)據(jù)庫(kù)被黑客攻破,從而導(dǎo)致照片泄露;Yahoo郵箱是一起較早的事件,由于對(duì)某個(gè)漏洞修復(fù)不完全,導(dǎo)致黑客的二次利用;Dropbox則還沒(méi)有更準(zhǔn)確的信息。

  坦白的說(shuō),這些問(wèn)題就廠商而言,確實(shí)直接責(zé)任不大(Yahoo的例外)。但對(duì)用戶輕飄飄一個(gè)聲明,于情于理都說(shuō)不過(guò)。我以為有更好的做法。

  用戶端安全機(jī)制的增強(qiáng)。

  在iCloud艷照門(mén)后,蘋(píng)果為Apple ID開(kāi)啟了兩部認(rèn)證。如此后,每次登陸iCloud除密碼外還需要設(shè)備驗(yàn)證或者短信驗(yàn)證。這個(gè)功能是極好的,但蘋(píng)果只為美國(guó)等少數(shù)幾個(gè)國(guó)家開(kāi)啟了這一功能,并且只作為安全項(xiàng)的一個(gè)補(bǔ)充項(xiàng),并不是全局性質(zhì)的默認(rèn)推薦。蘋(píng)果只做一半的做法很顯然不合時(shí)宜(Washington Post對(duì)此也頗有微詞),像Google、Alipay、QQ等多家服務(wù)型巨頭這方面就做的不錯(cuò),包括“安全設(shè)備”、多重驗(yàn)證、令牌環(huán)、密碼多次輸入錯(cuò)誤后停止登陸等等,蘋(píng)果顯然還處在這些廠商的早期狀態(tài),對(duì)此意識(shí)不強(qiáng)。

  第三方生態(tài)安全的增強(qiáng)。

  這次的Snapchat事件,是一個(gè)第三方應(yīng)用的問(wèn)題,據(jù)說(shuō)最近還有幾家也遭遇了這個(gè)問(wèn)題。這很是凸顯生態(tài)安全。我以為,第三方授權(quán)安全是絕對(duì)需要注意的。來(lái)看看QQ的例子,在前兩年騰訊下大力氣,將國(guó)內(nèi)有名兒的QQ插件全封殺并告知法律風(fēng)險(xiǎn)。這件事雖然有些霸權(quán)主義,但很值得做,因?yàn)榱奶燔浖槐WC安全那是對(duì)用戶的傷害,當(dāng)然更大氣的做法是做插件生態(tài),這個(gè)事兒不多討論。Snapchat艷照門(mén)事件,顯然是因?yàn)镾napsave通過(guò)bug從而拿到更高權(quán)限,從而保存了本該本銷(xiāo)毀的照片。插件生態(tài)的安全性需要時(shí)刻警惕,特別還是這類(lèi)聊天類(lèi)高敏感的應(yīng)用。

  整體安全的增強(qiáng)。

  Yahoo和未證實(shí)的Dropbox事件,是因?yàn)楸蝗肭謴亩鴣G失用戶資料。這兩家公司,一家太沉悶一家太新,因而沒(méi)有針對(duì)自身安全的漏洞獎(jiǎng)勵(lì)計(jì)劃(Yahoo Mail泄密發(fā)生在2012年末,Yahoo漏洞獎(jiǎng)勵(lì)計(jì)劃在2013年末發(fā)布)。漏洞獎(jiǎng)勵(lì)計(jì)劃是廠商對(duì)自身漏洞發(fā)現(xiàn)者給與一定獎(jiǎng)勵(lì),從而可以最快了解漏洞并修復(fù),這是業(yè)內(nèi)的一種成熟做法:當(dāng)白帽能從你手中獲得收入,黑客就會(huì)更難入侵。但在這之外,像蘋(píng)果、Snapchat這類(lèi)安全頻發(fā)的公司也同樣沒(méi)有漏洞,這是非常令人可惜的。

  其實(shí)總的說(shuō)來(lái),網(wǎng)絡(luò)安全事件頻發(fā),是因?yàn)檫@類(lèi)廠商自身面對(duì)安全問(wèn)題經(jīng)驗(yàn)太少,一些業(yè)界通用的安全防護(hù)措施,因?yàn)榘谅蚴韬龆辉覆捎?。到頭來(lái)嘗到苦楚,結(jié)果卻要用戶來(lái)承擔(dān)。

  這真的應(yīng)該嗎?

 

上一篇:智能無(wú)懼挑戰(zhàn) 山石網(wǎng)科轟動(dòng)RSA2015

下一篇:黑客竊700萬(wàn)Dropbox用戶密碼 稱(chēng):僅部分“戰(zhàn)利品“