看板 book 關於我們 聯絡資訊
※ [本文轉錄自 Soft_Job 看板 #1H8tpmp7 ] 作者: TonyQ (自立而後立人) 看板: Soft_Job 標題: [討論] 易用與安全 時間: Tue Feb 19 21:23:58 2013 很多人會在城邦買書, 可以注意一下這次的事件。 ----------------------------------------------------- 這次的事件可以看 城邦網留言「囧」暱稱 熱心駭客獲緩起訴 http://www.appledaily.com.tw/realtimenews/article/new/20130219/166827/ 轉錄新聞內文: 28歲的劉姓網頁工程師去年發現城邦原創公司旗下「POPO原創市集」、 「起點中文網」網頁安全有漏洞,熱心發電子郵件告知城邦公司, 但發現城邦遲未改善,劉男竟在去年11月7日化身駭客, 以「跨網站指令碼」(Cross-Site Scripting,簡稱XSS)攻擊該網站, 導致上「POPO」、「起點」網站留言的網友,暱稱全變成「囧」。 2個小時後,劉男發電郵向城邦公司自首,並提供解決方式,仍遭城邦提告。 北檢審酌劉男只是「白帽駭客」(指為他人測試並增進資訊安全), 想提醒該公司網路安全有漏洞, 動機出於善意,無意造成嚴重損害,且犯後立刻提供解決方法並道歉, 經城邦同意後,今天依妨害電腦使用罪將劉男緩起訴, 但須寫2000字以上悔過書,並提供40小時義務勞務。 ------------------------------------------------------------------ 補充,已知 Hacker 事先有先詳細告知過 POPO bug,只是不被理會。 ------------------------------------------------------------------ Hacker 自己的說明稿 https://gist.github.com/tony1223/2fac92e17822ec889ee6 來源是 http://goo.gl/FScCv ------------------------------------------------------------------ 我跟朋友之間對這件事情有了爭論,我認為他可以寫文章直接揭露這個漏洞, 自己去打絕對是最最下策的行為,而這麼做受到法律的制裁,也是必須之事。 而也有另一票朋友的看法是比較接近這篇的 http://littlebmix.blogspot.tw/2012/11/popodarkframemaster.html --------------------------------- 我是認為無論如何,對網站安全性的揭露是很重要得, SQL Injection / XSS attack / CSRF 攻擊等都是太常見的攻擊, 這件事也是搞到一個網站直接關站數天處理的,不要小看他。 以我自己的立場是如果不能確保這三者是安全的, 我在內部會不計一切代價說服公司優先處理這問題。 因為我曾經看過也經歷過幾十萬筆的資料在沒有備份的狀況下被消去。 只是作法問題,我們真的需要做到這麼極端嗎? 對於這樣的人,我們應該看待他是罪犯或是英雄? 我有我的見解,但我不覺得那是唯一的見解,所以我們來討論吧。 -- 其他相關討論 https://www.facebook.com/allenown/posts/10151245825621459 -- 網頁上拉近距離的幫手 實現 GMail豐富應用的功臣 數也數不清的友善使用者體驗 這就是javascript 歡迎同好到 AJAX 板一同討論。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 1.34.116.11 ※ 編輯: TonyQ 來自: 1.34.116.11 (02/19 21:24) ※ 編輯: TonyQ 來自: 1.34.116.11 (02/19 21:25)
diabloevagto:比較極端的想法,既然對方都不想管了,又何必去 02/19 21:43
diabloevagto:多管閒事呢?等到對方出事了就知道痛 02/19 21:44
diabloevagto:當然這種白帽作法也是很熱心的,我覺得用官司處理 02/19 21:44
diabloevagto:實在不太適當 02/19 21:44
diabloevagto:但是劉姓工程師直接去做攻擊也太過衝動 02/19 21:45
bndan:對於對資安沒興趣照料的公司 讓他放著洞被HACK也只是剛好= = 02/19 22:02
bndan:至於當白帽好心這種事...我只能說沒立場別出手比較好 ~_~" 02/19 22:03
f1234518456:PG:在職不要打就好 要打等我離職 (煙 02/19 22:17
calqlus:他怎不開補習班 02/19 22:20
thinkniht:如果是我 只會私下告知 要是該公司都不怕了 02/19 22:36
thinkniht:我怕甚麼XD 02/19 22:36
thinkniht:我是覺得該工程師做好事前沒有保護好自己 02/19 22:37
pcyu16:或許是對他們的東西還有期待吧.. 不然不管他很簡單不是嗎 02/19 22:59
yauhh:可能產業文化就是想要過得去而已,但專業觀點容不下這粒砂, 02/19 23:06
yauhh:主動做這種糾舉反而是個干擾. 像XDite之流該拿捏嘲弄輕重等 02/19 23:09
codemonkey:如果我看到正妹沒穿褲子,我應該不會跑過去吹氣 02/19 23:22
codemonkey:然後跟正妹說我只是吹氣而已,別人會幹什麼就不知道了 02/19 23:23
CRPKT:所以那兩個站的洞到底封了沒 XD 02/20 00:10
luciferii:我絆你一跤再跟你說走路要看路, 這樣也可以嗎? 02/20 00:14
luciferii:有很多更正當的反應管道, 說劉男當時不是為了好玩興起 02/20 00:15
luciferii:我才不相信XD 又不是第一天看到駭客 02/20 00:16
dryman:強烈懷疑樓上有沒有真的看過駭客(電影、新聞不算) 02/20 04:22
dryman:如果你看到別人家瓦斯漏氣,不講才真的是缺德 02/20 04:23
lovdkkkk:寫文章如果在處理前先被人惡用, 也變成是他害的啊 02/20 08:07
luciferii:看到別人家瓦斯漏氣點完火再講,是真的不缺德嗎? 02/20 08:07
lovdkkkk:損害搞不好還更大 02/20 08:07
luciferii:真的白帽才不是這樣玩 02/20 08:08
gmoz:DarkFrameMaster XDDDD 02/20 09:09
jackyu:die hard 4.0表示: 02/20 09:31
jackyu:城邦這____公司不意外,格局有夠小,希望他們再出個大包 02/20 10:05
jackyu:這處罰有夠重,40小時義務勞動+2000字悔過,技術人員最需要的 02/20 10:06
jackyu:就是休息時間啊 02/20 10:07
jackyu:還是城邦蠢到以為你白帽不講就沒有cracker會發現? 02/20 10:07
jackyu:台灣商務高層不意外啊Zzz 02/20 10:08
sayya2311:...該不會是建議信寫給連SQL都沒寫過的客服人員? 02/20 10:09
※ 編輯: TonyQ 來自: 175.182.230.46 (02/20 13:24)
pcyu16:在網路上公開網站的漏洞跟攻擊方式 會造成法律上的問題嗎? 02/20 13:54
erspicu:任何事情的出發動機 不然就是利益 不然就是好玩或是成就感 02/20 14:09
erspicu:駭客又不是聖人 無我無私 沒利可圖的狀況下 當然是求好玩 02/20 14:10
erspicu:不然誰吃飽沒事幹 做這些事情 只是同樣是玩 手段也有高低 02/20 14:11
erspicu:比較客氣的 只是鬧一些惡作劇或是警告 還算客氣的 02/20 14:11
erspicu:雖然不認同這種行為 但是老實說已經算是客氣了 02/20 14:12
tonytonyjan:XDite 躺著中槍了w 02/20 14:56
※ 編輯: descent 來自: 59.125.239.51 (02/20 16:09)
Fernandeo:被告當然制度面上是應當的,但城邦這種大公司這樣處理 02/20 17:01
Fernandeo:就公關策略上我覺得他們很失敗。 02/20 17:02
Fernandeo:造成公眾私心同情駭客,公司形象反而下滑。 02/20 17:03
Treeflaw:有些人是真的無法將已經看見的事物當成沒有看見 02/20 18:41
Treeflaw:義賊與惡賊都能說是"犯法" 但"犯罪"這種字眼若是我只會放 02/20 18:46
Treeflaw:在後者身上 02/20 18:46
skyhawkptt:除非國內肯學國外花錢請白帽,不然資料損失是公司活該 02/20 22:27
bowei99:你今天寫文章揭發好了,壞心的大攻擊讓公司+網友資料損失 02/20 22:40
bowei99:是不是又要找寫文章的人麻煩? 02/20 22:40
bowei99:也增加了被攻擊的機率。但就解決問題來說,還比揭發好 02/20 22:41
globekiller:駭完不要處理 就不會被罰了吧 這不自首應該很難抓? 02/20 23:43
redblouse:城邦這種處理方式真的會讓反感... 02/20 23:55
EuniceYu:城邦公司形象下滑+1 02/21 00:42
stahyades63:城邦形象下滑再+1 在POPO有會員 這處理態度真讓人擔心 02/21 00:53
semicoma:如果被駭 不只是城邦的損失吧? 會員的個資洩漏出去難道不 02/21 01:06
semicoma:是會員的損失? 城邦這種處理法根本棄會員資安於不顧 02/21 01:06
gibyezethe:他人也真憨直,都勸過了不聽就隨他去了吧 02/21 08:32
tomx:城邦要改善吧,要是到時被人駭出一堆會員資料就麻煩了 02/21 10:40
mayjan:很好奇何飛鵬會怎麼看待這件事 02/21 12:19
harlin:若把漏動公開受害的是廣大使用者;城邦不徹告有損企業形象 02/21 19:37
jdh8:他已經寫過 E-mail 告知了,不這樣做城邦根本不痛不癢。 02/22 00:27
jdh8:城邦不僅傷及自己的形象,更會使台灣白帽駭客卻步。 02/22 00:32
jdh8:如此可能會造成其他網站更易遭到惡意入侵。此風不可長。 02/22 00:33
qi3qi3:推Fernandeo大。城邦該感謝這位熱心的駭客才對 02/22 09:12
aceone:我覺得形象下滑是他們網站安全性不佳跟沒有用心處理 02/22 09:58
aceone:但是該告還是要告 不然大家都去那邊練功弄網站好了... 02/22 09:58
sneak: 如此可能會造成其他網站 https://muxiv.com 08/12 20:23
sneak: 還是城邦蠢到以為你白帽 https://daxiv.com 09/14 21:06
sneak: 推Fernandeo大 https://muxiv.com 11/06 16:36
sneak: 城邦要改善吧,要是到時 http://yofuk.com 12/31 03:11