[討論] 易用與安全

作者TonyQ (自立而後立人)

看板Soft_Job

標題[討論] 易用與安全

時間Tue Feb 19 21:23:58 2013

這次的事件可以看城邦網留言「囧」暱稱　熱心駭客獲緩起訴 http://www.appledaily.com.tw/realtimenews/article/new/20130219/166827/ 轉錄新聞內文： 28歲的劉姓網頁工程師去年發現城邦原創公司旗下「POPO原創市集」、「起點中文網」網頁安全有漏洞，熱心發電子郵件告知城邦公司，但發現城邦遲未改善，劉男竟在去年11月7日化身駭客，以「跨網站指令碼」（Cross-Site Scripting，簡稱XSS）攻擊該網站，導致上「POPO」、「起點」網站留言的網友，暱稱全變成「囧」。 2個小時後，劉男發電郵向城邦公司自首，並提供解決方式，仍遭城邦提告。北檢審酌劉男只是「白帽駭客」（指為他人測試並增進資訊安全），想提醒該公司網路安全有漏洞，動機出於善意，無意造成嚴重損害，且犯後立刻提供解決方法並道歉，經城邦同意後，今天依妨害電腦使用罪將劉男緩起訴，但須寫2000字以上悔過書，並提供40小時義務勞務。 ------------------------------------------------------------------ 補充，已知 Hacker 事先有先詳細告知過 POPO bug，只是不被理會。 ------------------------------------------------------------------ Hacker 自己的說明稿 https://gist.github.com/tony1223/2fac92e17822ec889ee6 來源是 http://goo.gl/FScCv ------------------------------------------------------------------ 我跟朋友之間對這件事情有了爭論，我認為他可以寫文章直接揭露這個漏洞，自己去打絕對是最最下策的行為，而這麼做受到法律的制裁，也是必須之事。而也有另一票朋友的看法是比較接近這篇的 http://littlebmix.blogspot.tw/2012/11/popodarkframemaster.html --------------------------------- 我是認為無論如何，對網站安全性的揭露是很重要得， SQL Injection / XSS attack / CSRF 攻擊等都是太常見的攻擊，這件事也是搞到一個網站直接關站數天處理的，不要小看他。以我自己的立場是如果不能確保這三者是安全的，我在內部會不計一切代價說服公司優先處理這問題。因為我曾經看過也經歷過幾十萬筆的資料在沒有備份的狀況下被消去。只是作法問題，我們真的需要做到這麼極端嗎？對於這樣的人，我們應該看待他是罪犯或是英雄？我有我的見解，但我不覺得那是唯一的見解，所以我們來討論吧。 -- 其他相關討論 https://www.facebook.com/allenown/posts/10151245825621459 -- 網頁上拉近距離的幫手實現 GMail豐富應用的功臣數也數不清的友善使用者體驗這就是ｊａｖａｓｃｒｉｐｔ歡迎同好到 AJAX 板一同討論。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 1.34.116.11 ※ 編輯: TonyQ 來自: 1.34.116.11 (02/19 21:24) ※ 編輯: TonyQ 來自: 1.34.116.11 (02/19 21:25)

→ diabloevagto:比較極端的想法，既然對方都不想管了，又何必去 02/19 21:43

→ diabloevagto:多管閒事呢？等到對方出事了就知道痛 02/19 21:44

→ diabloevagto:當然這種白帽作法也是很熱心的，我覺得用官司處理 02/19 21:44

→ diabloevagto:實在不太適當 02/19 21:44

→ diabloevagto:但是劉姓工程師直接去做攻擊也太過衝動 02/19 21:45

→ bndan:對於對資安沒興趣照料的公司讓他放著洞被HACK也只是剛好= = 02/19 22:02

→ bndan:至於當白帽好心這種事...我只能說沒立場別出手比較好 ~_~" 02/19 22:03

→ f1234518456:PG:在職不要打就好要打等我離職 (煙 02/19 22:17

推 calqlus:他怎不開補習班 02/19 22:20

推 thinkniht:如果是我只會私下告知要是該公司都不怕了 02/19 22:36

→ thinkniht:我怕甚麼XD 02/19 22:36

→ thinkniht:我是覺得該工程師做好事前沒有保護好自己 02/19 22:37

→ pcyu16:或許是對他們的東西還有期待吧.. 不然不管他很簡單不是嗎 02/19 22:59

推 yauhh:可能產業文化就是想要過得去而已,但專業觀點容不下這粒砂, 02/19 23:06

→ yauhh:主動做這種糾舉反而是個干擾. 像XDite之流該拿捏嘲弄輕重等 02/19 23:09

推 codemonkey:如果我看到正妹沒穿褲子，我應該不會跑過去吹氣 02/19 23:22

→ codemonkey:然後跟正妹說我只是吹氣而已，別人會幹什麼就不知道了 02/19 23:23

推 CRPKT:所以那兩個站的洞到底封了沒 XD 02/20 00:10

推 luciferii:我絆你一跤再跟你說走路要看路, 這樣也可以嗎? 02/20 00:14

→ luciferii:有很多更正當的反應管道, 說劉男當時不是為了好玩興起 02/20 00:15

→ luciferii:我才不相信XD 又不是第一天看到駭客 02/20 00:16

推 dryman:強烈懷疑樓上有沒有真的看過駭客（電影、新聞不算） 02/20 04:22

→ dryman:如果你看到別人家瓦斯漏氣，不講才真的是缺德 02/20 04:23

→ lovdkkkk:寫文章如果在處理前先被人惡用, 也變成是他害的啊 02/20 08:07

推 luciferii:看到別人家瓦斯漏氣點完火再講，是真的不缺德嗎? 02/20 08:07

→ lovdkkkk:損害搞不好還更大 02/20 08:07

→ luciferii:真的白帽才不是這樣玩 02/20 08:08

推 gmoz:DarkFrameMaster XDDDD 02/20 09:09

推 jackyu:die hard 4.0表示: 02/20 09:31

推 jackyu:城邦這____公司不意外,格局有夠小,希望他們再出個大包 02/20 10:05

→ jackyu:這處罰有夠重,40小時義務勞動+2000字悔過,技術人員最需要的 02/20 10:06

→ jackyu:就是休息時間啊 02/20 10:07

→ jackyu:還是城邦蠢到以為你白帽不講就沒有cracker會發現? 02/20 10:07

→ jackyu:台灣商務高層不意外啊Zzz 02/20 10:08

→ sayya2311:...該不會是建議信寫給連SQL都沒寫過的客服人員? 02/20 10:09

※ 編輯: TonyQ 來自: 175.182.230.46 (02/20 13:24)

→ pcyu16:在網路上公開網站的漏洞跟攻擊方式會造成法律上的問題嗎? 02/20 13:54

→ erspicu:任何事情的出發動機不然就是利益不然就是好玩或是成就感 02/20 14:09

→ erspicu:駭客又不是聖人無我無私沒利可圖的狀況下當然是求好玩 02/20 14:10

→ erspicu:不然誰吃飽沒事幹做這些事情只是同樣是玩手段也有高低 02/20 14:11

→ erspicu:比較客氣的只是鬧一些惡作劇或是警告還算客氣的 02/20 14:11

→ erspicu:雖然不認同這種行為但是老實說已經算是客氣了 02/20 14:12

推 tonytonyjan:XDite 躺著中槍了w 02/20 14:56

→ yauhh:不該這麼說,"像XDite之流"是說像那樣子出身立意就是為批評 02/20 17:31

→ yauhh:而存在的角色. 這一類的人物對於自己行為方式本來就該斟酌. 02/20 17:32

推 cyr1216:插一下話 10幾筆資料沒備份被消下去真的會軟腿..... 02/21 01:00

→ cyr1216:感覺離職800遍都不夠還 02/21 01:01

→ cyr1216:　　　　 ^萬 02/21 01:01

推 astt88:這種事只有該漏洞上新聞後，公司才會比較重視 02/21 12:19

→ astt88:其實開發過Web，懂前後端處理的人，看一般的網站多多少少都 02/21 12:21

→ astt88:都有點資安或個資上的問題 02/21 12:22

推 astt88:不過我基本上都不會說 02/21 12:26

推 asdfghjklasd:就等城邦洩漏個資被罰一人20000吧.超爽的耶 02/21 17:26

推 evenwu:朝聖 02/21 22:51

推 boylee:朝聖 02/22 01:22