您现在的位置:主页 > 安全新闻 > 安全播报 >
UCC证书实现多域名支持,微软产品首家推荐Entrust。UCC证书保护企业多个域名及其子域名、IP地址、服务器,协助您大幅节省时间、管理成本,强化网站信息安全管理的效率。
3月底被曝出的360和谷歌可搜索出大量支付宝私人交易记录的漏洞事件尚未平息,4月初,微博红人“独立调查员”和漏洞报告平台乌云之间的微博口水论战却再次“火上浇油”,将支付宝漏洞事件推向白热化。

双方各执一词
事实上,刚刚被曝出的支付宝交易记录可被搜索引擎抓取事件,去年乌云平台上就有“白帽子”(正面的黑客,不会恶意去利用一些安全漏洞,而是公布系统漏洞到网络上,引起大家的注意)上报过类似漏洞。在2012年6月1日发布的题为“支付宝交易信息泄露”报告概要中表明,漏洞类型是“敏感信息泄露”,危害等级为“中级”,而漏洞状态为“漏洞已通知厂商,但是厂商忽略漏洞”。时隔半年,经网友爆料,这则报告被大量转发后,才引起公众的广泛关注,与此同时,支付宝方面也采取了相关措施,进行了补救。

原本事情可告一段落,但自称为微博007的“独立调查员”却在4月初提出了“真的是安全漏洞吗?”的质疑,指责乌云平台有“伪安全”嫌疑,由此引发一场论战。“系统本身没有隐私安全问题”,独立调查员在接受《IT时报》记者采访时表示,“那个功能本来就是用来给用户分享交易结果的, 用户主动发送链接,责任怎么能算到支付宝身上?”从独立调查员掌握的信息看,没有明确证据指明,被搜索引擎抓取的交易信息是受第三方攻击后取得。因此,他认为,乌云的漏洞上报并不专业,“像这一类未经证实的漏洞应改称为‘疑似漏洞’,而且对于这类未经证实的漏洞报告应加强审核,立即删除错误的漏洞报告。”

对此,乌云平台的相关负责人剑心也有自己的看法:支付宝本身就应该对使用用户的信息安全负责。“比如A用户付款之后可能需要将信息告诉B用户,但是他未必知道这么一发之后,会有什么后果。因此在设置时,支付宝就需要考虑到这些问题,其实非常简单,只要设置这个链接24小时内有效就能解决。”剑心认为,之前,支付宝之所以迟迟没有采取行动,还是与对这一方面的安全不重视有关。

漏洞判断无标准可依
这一次的论战同时引起了不少业界的安全专家和技术人员的关注,《IT时报》记者与业内多位专家沟通后,发现这一类的“漏洞”问题即便是在业界也存有各种争议,但始终没有一个权威机构能够给出明确标准。

安全环境有待改善
在支付宝的事件中,虽然在业界,支持乌云报告的技术人员占大多数。但也有不少网友对乌云运作模式提出了思考,网友“数据流”认为:“现在乌云的‘白帽子’泛滥,防漏洞质量严重下降,乌云方面应采取策略提高门槛。”
据了解,乌云是非营利性质的漏洞上报平台,其上报者都是来自安全领域的技术人员,尽管从流程看,“白帽子”上报的漏洞先要经过审核,以及得到企业的反馈,然后才能公布,但目前在乌云平台,只要荣升为普通白帽子后,上报的漏洞就不再需要审核,而企业方面的反馈虽然可以起到弥补作用,但一旦企业选择“忽略”,用户其实很难判断漏洞的真实性。对此质疑剑心表示:“对白帽子而言最重要的是信誉,如果有失误会被其他人鄙视。”不过,公众对平台报告的公正以及客观的要求,并不仅仅依靠白帽子的荣誉感来保证。


分享到: 更多
通配符证书SSL证书-标准版SSL证书-高级版代码签名证书UCC证书PDF签名证书EV证书邮件安全证书| 免费试用产品支持合作伙伴友情链接关于亿创恒安
联系电话:133129-22000 公司邮箱:support@etsec.com.cn
© 北京亿创恒安科技有限公司 版权所有www.etsec.com.cn 京ICP备10211985