网络安全的苦果 为何用户来尝?

网络安全的苦果 为何用户来尝?

逆向破解访客2021-10-12 3:03:0010614A+A-

  在互联网领域,网络安全事件的频发,已经成为人们关注的焦点,最近一段时间内,也发了很多重大网络安全事件。

  我说的不是类似Heartbleed、BadUSB、Shellshock这种天灾级别的漏洞,面对这类漏洞,普通用户就像面对台风海啸一般,无法抵御。

  我想说的是iCloud艳照门,Snapchat艳照门、Yahoo邮箱用户资料泄露以及最新未证实的Dropbox用户资料泄密事件,它们属于人力可挽救的事故。这些公司大多不在中国,但具备一种典型意义。换句话说:讨论它们,也能对国内产生借鉴意义。

  你会发现,这些什么门啊、泄密啊,其实都有共通之处。那就是:厂商声明,此事与我们无关,应该都是用户的错。或者弱密码,或者滥用第三方应用,或者直接不知情。

  iCloud艳照门,原因评估是因为用户弱密码,通过iCloud上可以用脚本程序反复测试直接获得正确密码;Snapchat艳照门,原因评估是用户在使用一个名为“Snapsave”的第三方应用,这个应用可以保存Snapchat上的“阅后即焚”照片,它的数据库被黑客攻破,从而导致照片泄露;Yahoo邮箱是一起较早的事件,由于对某个漏洞修复不完全,导致黑客的二次利用;Dropbox则还没有更准确的信息。

  坦白的说,这些问题就厂商而言,确实直接责任不大(Yahoo的例外)。但对用户轻飘飘一个声明,于情于理都说不过。我以为有更好的做法。

  用户端安全机制的增强。

  在iCloud艳照门后,苹果为Apple ID开启了两部认证。如此后,每次登陆iCloud除密码外还需要设备验证或者短信验证。这个功能是极好的,但苹果只为美国等少数几个国家开启了这一功能,并且只作为安全项的一个补充项,并不是全局性质的默认推荐。苹果只做一半的做法很显然不合时宜(Washington Post对此也颇有微词),像Google、Alipay、QQ等多家服务型巨头这方面就做的不错,包括“安全设备”、多重验证、令牌环、密码多次输入错误后停止登陆等等,苹果显然还处在这些厂商的早期状态,对此意识不强。

  第三方生态安全的增强。

  这次的Snapchat事件,是一个第三方应用的问题,据说最近还有几家也遭遇了这个问题。这很是凸显生态安全。我以为,第三方授权安全是绝对需要注意的。来看看QQ的例子,在前两年腾讯下大力气,将国内有名儿的QQ插件全封杀并告知法律风险。这件事虽然有些霸权主义,但很值得做,因为聊天软件不保证安全那是对用户的伤害,当然更大气的做法是做插件生态,这个事儿不多讨论。Snapchat艳照门事件,显然是因为Snapsave通过bug从而拿到更高权限,从而保存了本该本销毁的照片。插件生态的安全性需要时刻警惕,特别还是这类聊天类高敏感的应用。

  整体安全的增强。

  Yahoo和未证实的Dropbox事件,是因为被入侵从而丢失用户资料。这两家公司,一家太沉闷一家太新,因而没有针对自身安全的漏洞奖励计划(Yahoo Mail泄密发生在2012年末,Yahoo漏洞奖励计划在2013年末发布)。漏洞奖励计划是厂商对自身漏洞发现者给与一定奖励,从而可以最快了解漏洞并修复,这是业内的一种成熟做法:当白帽能从你手中获得收入,黑客就会更难入侵。但在这之外,像苹果、Snapchat这类安全频发的公司也同样没有漏洞,这是非常令人可惜的。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 囤梦桔烟2022-06-01 15:33:34
  • 家太沉闷一家太新,因而没有针对自身安全的漏洞奖励计划(Yahoo Mail泄密发生在2012年末,Yahoo漏洞奖励计划在2013年末发布)。漏洞奖励计划是厂商对自身漏洞发现者给与一定
  • 冢渊吝吻2022-06-01 19:52:59
  • 家也遭遇了这个问题。这很是凸显生态安全。我以为,第三方授权安全是绝对需要注意的。来看看QQ的例子,在前两年腾讯下大力气,将国内有名儿的QQ插件全封杀并告知法律风险。这件事虽然有些霸权主义,但很值得做,因为聊天软件不保证安全那是对
  • 囤梦风晓2022-06-01 21:23:41
  • 补充项,并不是全局性质的默认推荐。苹果只做一半的做法很显然不合时宜(Washington Post对此也颇有微词),像Google、Alipay、QQ等多家服务型巨头这方面就做的不错,包括“安全设备”、多重验证、令牌环、密码多次输入错误后
  • 世味烟柳2022-06-01 17:17:40
  • 司也同样没有漏洞,这是非常令人可惜的。 

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理