網(wǎng)絡(luò)安全事件頻發(fā),最后卻成了用戶的錯?

責(zé)任編輯:editor004

2014-10-15 11:05:55

摘自:雷鋒網(wǎng)

我說的不是類似Heartbleed、BadUSB、Shellshock這種天災(zāi)級別的漏洞,面對這類漏洞,普通用戶就像面對臺風(fēng)海嘯一般,無法抵御。我想說的是iCloud艷照門,Snapchat艷照門、Yahoo郵箱用戶資料泄露以及最新未證實的Dropbox用戶資料泄密事件,它們屬于人力可挽救的事故

  最近一段時間網(wǎng)絡(luò)安全事件頻發(fā)。

我說的不是類似Heartbleed、BadUSB、Shellshock這種天災(zāi)級別的漏洞,面對這類漏洞,普通用戶就像面對臺風(fēng)海嘯一般,無法抵御。

我想說的是iCloud艷照門,Snapchat艷照門、Yahoo郵箱用戶資料泄露以及最新未證實的Dropbox用戶資料泄密事件,它們屬于人力可挽救的事故。這些公司大多不在中國,但具備一種典型意義。換句話說:討論它們,也能對國內(nèi)產(chǎn)生借鑒意義。

你會發(fā)現(xiàn),這些什么門啊、泄密啊,其實都有共通之處。那就是:廠商聲明,此事與我們無關(guān),應(yīng)該都是用戶的錯?;蛘呷趺艽a,或者濫用第三方應(yīng)用,或者直接不知情。

iCloud艷照門,原因評估是因為用戶弱密碼,通過iCloud上可以用腳本程序反復(fù)測試直接獲得正確密碼;Snapchat艷照門,原因評估是用戶在使用一個名為“Snapsave”的第三方應(yīng)用,這個應(yīng)用可以保存Snapchat上的“閱后即焚”照片,它的數(shù)據(jù)庫被黑客攻破,從而導(dǎo)致照片泄露;Yahoo郵箱是一起較早的事件,由于對某個漏洞修復(fù)不完全,導(dǎo)致黑客的二次利用;Dropbox則還沒有更準(zhǔn)確的信息。

坦白的說,這些問題就廠商而言,確實直接責(zé)任不大(Yahoo的例外)。但對用戶輕飄飄一個聲明,于情于理都說不過。我以為有更好的做法。

用戶端安全機(jī)制的增強(qiáng)。

在iCloud艷照門后,蘋果為Apple ID開啟了兩部認(rèn)證。如此后,每次登陸iCloud除密碼外還需要設(shè)備驗證或者短信驗證。這個功能是極好的,但蘋果只為美國等少數(shù)幾個國家開啟了這一功能,并且只作為安全項的一個補(bǔ)充項,并不是全局性質(zhì)的默認(rèn)推薦。蘋果只做一半的做法很顯然不合時宜(Washington Post對此也頗有微詞),像Google、Alipay、QQ等多家服務(wù)型巨頭這方面就做的不錯,包括“安全設(shè)備”、多重驗證、令牌環(huán)、密碼多次輸入錯誤后停止登陸等等,蘋果顯然還處在這些廠商的早期狀態(tài),對此意識不強(qiáng)。

第三方生態(tài)安全的增強(qiáng)。

這次的Snapchat事件,是一個第三方應(yīng)用的問題,據(jù)說最近還有幾家也遭遇了這個問題。這很是凸顯生態(tài)安全。我以為,第三方授權(quán)安全是絕對需要注意的。來看看QQ的例子,在前兩年騰訊下大力氣,將國內(nèi)有名兒的QQ插件全封殺并告知法律風(fēng)險。這件事雖然有些霸權(quán)主義,但很值得做,因為聊天軟件不保證安全那是對用戶的傷害,當(dāng)然更大氣的做法是做插件生態(tài),這個事兒不多討論。Snapchat艷照門事件,顯然是因為Snapsave通過bug從而拿到更高權(quán)限,從而保存了本該本銷毀的照片。插件生態(tài)的安全性需要時刻警惕,特別還是這類聊天類高敏感的應(yīng)用。

整體安全的增強(qiáng)。

Yahoo和未證實的Dropbox事件,是因為被入侵從而丟失用戶資料。這兩家公司,一家太沉悶一家太新,因而沒有針對自身安全的漏洞獎勵計劃(Yahoo Mail泄密發(fā)生在2012年末,Yahoo漏洞獎勵計劃在2013年末發(fā)布)。漏洞獎勵計劃是廠商對自身漏洞發(fā)現(xiàn)者給與一定獎勵,從而可以最快了解漏洞并修復(fù),這是業(yè)內(nèi)的一種成熟做法:當(dāng)白帽能從你手中獲得收入,黑客就會更難入侵。但在這之外,像蘋果、Snapchat這類安全頻發(fā)的公司也同樣沒有漏洞,這是非常令人可惜的。

其實總的說來,網(wǎng)絡(luò)安全事件頻發(fā),是因為這類廠商自身面對安全問題經(jīng)驗太少,一些業(yè)界通用的安全防護(hù)措施,因為傲慢或疏忽而不愿采用。到頭來嘗到苦楚,結(jié)果卻要用戶來承擔(dān)。

這真的應(yīng)該嗎?

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號