站長俱樂部:站长论坛


返回   站長俱樂部:站长论坛 > 電腦與網路軟硬體綜合討論 > 電腦與網路相關新聞
Blog 論壇幫助 社區 日曆事件 今日新文章 搜尋

回覆
 
主題工具 顯示模式
  #1  
舊 2006-11-02, 01:28 PM
simon simon 目前離線
進階會員
 
註冊日期: 2006-02-12
文章: 530
預設 Google開闢網頁向除錯者道謝

Google開闢網頁向除錯者道謝

CNET新聞專區:Joris Evers  02/11/2006


Google上個月悄悄在自家企業網站上增闢新網頁,在提供網站安全資訊之餘,也向找出並回報程式瑕疵的資安研究員致意。

Google把曾經回報安全性弱點的個人與組織一一列名,刊登在新網頁上,藉此向他們致謝。資安研究員說,就大型網路公司而論,這可說是前所未見的創舉,在雅虎、AOL的網站都未見過這種道謝名單。




Google工程部副總裁Douglas Merrill說:「我們想感謝見義勇為的人們,並大大地公開肯定他們高超的技能。我認識的資安研究員都特別為了『技客可信度』(geek credibility)而躍躍欲試,因為可以說『嘿!瞧瞧我做了什麼,很酷吧!』」

傳統軟體公司通常只在安全通告中附帶一提抓錯者的名字,聊表謝意。但在Web 2.0的時代,線上應用程式沒有這種提醒使用者安裝修補程式的安全公告(alert)。

WhiteHat Security技術長Jeremiah Grossman說:「就網路架構的軟體來說,電子郵件公告或告示板已不適用。當網路軟體公司推出安全修補程式時,使用者不必自行修補。」Grossman名列Google網站致謝的名單之中。

新弱點

專家說,Web 2.0讓網站增添豐富的新功能,提供媲美桌上型電腦應用軟體的體驗,但安全風險也隨之增加。熱門的郵件論壇(mailing list)常常指出Google等各大網站新發現的安全漏洞。

Merrill說:「我們剛開始學習這種高度互動的、集體式的開發形式,所以仍有許多改進的空間。」

這些新類型的網路軟體瑕疵包括:跨站腳本臭蟲(cross-site scripting bug),可讓詐騙者發動網路釣魚(phishing)攻擊;JavaScript相關的弱點,則讓惡徒發動大規模的攻擊和惡意的連結;偽造跨站要求 (Cross-site request forgery;CSRF)則能造成惡意網站把要求(request)轉嫁給受信賴的網站。

唯有遵循「負責揭露」原則的資安研究員,才上得了Google的感謝名單,也就是排除未先知會軟體或服務公司、就逕自公開揭露軟體弱點者。

Merrill說:「我們認為,負責任的揭露是資安業當前的首要之務。研究員一公布弱點,就會有駭客依樣學樣發動攻擊。最好不要讓使用者暴露於那些攻擊之中。」

截至10月31日止,「Google感謝你」的名單上已出現12個名字,有個人、團體也有公司,包括在資安界名氣響亮的Alex Shipp(任職於MessageLabs)、H D Moore、Castlecops和FaceTime Communications。(唐慧文/譯)
回覆時引用此篇文章
回覆

書籤


發文規則
不可以發表新主題
不可以發表回覆
不可以上傳附件
不可以編輯自己的文章

啟用 BB 代碼
論壇啟用 表情符號
論壇啟用 [IMG] 代碼
論壇禁用 HTML 代碼

論壇跳轉

 

所有時間均為 +8。現在的時間是 02:49 PM


本站主機由網易虛擬主機代管
Powered by vBulletin® 版本 3.8.4
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.