誰動(dòng)了我的隱私 - 隱私風(fēng)險(xiǎn)初探

1、誰動(dòng)了我的隱私 隱私風(fēng)險(xiǎn)初探時(shí)間: 2011-12-07閱讀: 14次 整理: 華夏聯(lián)盟網(wǎng)EMail: fenggou#80Site: HYPERLINK Date: 2011-12-6目錄000 前言001 隱私安全初探002 “云”存儲(chǔ)隱私風(fēng)險(xiǎn)003 移動(dòng)終端隱私風(fēng)險(xiǎn)004 隱私威脅對(duì)抗005 勺之終極奧義006 結(jié)語當(dāng)你凝視著深淵，深淵也在凝視著你。 尼采000 前言這篇小文很早就有了想法，但由于自己的種種問題，未能完成，就這最近發(fā)生的一些事情，有了整理和反省的決心，決定一鼓作氣完成他，給自己，給他人一些借鑒。自從信息時(shí)代的爆發(fā)，各種服務(wù)撲天蓋地襲來，人們?cè)絹碓浇邮軐⒆约旱囊磺兄糜谶@個(gè)龐

2、大、新奇、無所不能的互聯(lián)網(wǎng)之上，各種服務(wù)技術(shù)已極快的速度更新?lián)Q代、更多的生活支持，讓人驚奇的同時(shí)也讓人越來越依賴這個(gè)虛擬的世界。老一代的網(wǎng)民也許感觸最深，就拿自己來說吧（當(dāng)然我不是資深網(wǎng)民），email已經(jīng)不知更新了幾代，從最初的SinaMail，到163Mail郵箱再到現(xiàn)在的Gmail；個(gè)人信息展現(xiàn)平臺(tái)，從個(gè)人主頁，到博客，再到現(xiàn)在的微博；數(shù)碼設(shè)備，從最初的網(wǎng)吧，到自己的第一臺(tái)PC，到一屋子電腦、本子，再到各種智能化mobile設(shè)備；數(shù)碼生活無時(shí)無刻的在改變，變的簡(jiǎn)單。有本書是這樣說的：人類進(jìn)步的過程，就是越來越不加思考，已最小的代價(jià)去做某件事?；ヂ?lián)網(wǎng)真的讓人進(jìn)步了嗎？在我看來，人類進(jìn)步的過

3、程倒更像是一個(gè)退化的過程。001 隱私安全初探有點(diǎn)扯遠(yuǎn)了，回到主題。在互聯(lián)網(wǎng)讓我們“進(jìn)步”的同時(shí)，我們每個(gè)人的各種隱私開始逐漸的暴漏在這個(gè)平臺(tái)之上，恐怖的是人們已經(jīng)越來越信任以及依賴互聯(lián)網(wǎng)，更恐怖的是我們已經(jīng)不在可以很好的控制他們。在利益和不正常的目的趨使下，互聯(lián)網(wǎng)的險(xiǎn)惡不亞于現(xiàn)實(shí)社會(huì)。很多網(wǎng)民也許會(huì)認(rèn)為我言過了，我只是想說，未見到，不代表其未發(fā)生，互聯(lián)網(wǎng)隱私問題上，還是要多多保持唯心的態(tài)度，舉些例子吧：1）拖庫風(fēng)險(xiǎn)這個(gè)詞語在幾年前也許還較為陌生，但最近一兩年開始，已經(jīng)算是人盡皆知了，黑客入侵有價(jià)值的網(wǎng)絡(luò)社區(qū)，down掉會(huì)員庫，建立龐大的社會(huì)工程密碼庫，或者根據(jù)社區(qū)性質(zhì)建立人際關(guān)系庫，做個(gè)分類

4、，技術(shù)人員類，站長(zhǎng)類，設(shè)計(jì)類乃至公司管理高層類。它的價(jià)值除了密碼和人際關(guān)系外，還可以挖掘一些更有意思的東西，比如統(tǒng)計(jì)密碼習(xí)慣，密碼提示問題答案，生日，手機(jī)，真實(shí)姓名，身份證號(hào)碼，常用IP，住址，IM，信用卡號(hào)信息等等。總之，一份庫的價(jià)值，不在于做到做不到，而在于想的想不到。2）電子郵件風(fēng)險(xiǎn)國(guó)內(nèi)外有很多開放的電子郵件系統(tǒng)，其郵件轉(zhuǎn)發(fā)與登陸IP提示機(jī)制均不完善，在加上用戶密碼的萬年不變，導(dǎo)致郵件的自動(dòng)轉(zhuǎn)發(fā)，代收等劫持攻擊變的難以防范與察覺（想讓用戶改密碼，必須得讓他們意識(shí)到自己帳戶已經(jīng)出現(xiàn)安全問題，但攻擊者不會(huì)給你這個(gè)機(jī)會(huì)）。公司內(nèi)部郵件系統(tǒng)也許有訪問控制的保護(hù)，但依然阻止不了轉(zhuǎn)發(fā)機(jī)制，即使做到了

5、定期檢測(cè)員工郵箱轉(zhuǎn)發(fā)或者干脆杜絕此類行為，但你也應(yīng)該意識(shí)到，拿到內(nèi)網(wǎng)可以訪問mail系統(tǒng)的某個(gè)節(jié)點(diǎn)也是輕而易舉的事情。轉(zhuǎn)發(fā)監(jiān)聽只是郵件攻擊的一個(gè)方面，你的郵件系統(tǒng)是否可以偽造發(fā)件人，直接利用員工的信任關(guān)系進(jìn)行客戶端攻擊呢，想必這個(gè)代價(jià)更低效果更佳顯著吧。3）即時(shí)通信風(fēng)險(xiǎn)IM即時(shí)通信軟件給人們的交流帶來了新的體驗(yàn)，人們?cè)絹碓浇邮懿⑶乙蕾囘@個(gè)方式，前幾天出現(xiàn)的大面積msn盜號(hào)詐騙事件已經(jīng)說明一切，遇到此類情況還是當(dāng)面或者電話確認(rèn)一下吧，不要因小失大。也不要把你的家人全都帶到網(wǎng)上，因?yàn)槟憬?jīng)歷了互聯(lián)網(wǎng)洗禮你的你可以識(shí)別這種欺詐，而你的家人未必。4）電子商務(wù)風(fēng)險(xiǎn)PS：這部分內(nèi)容沒有辦法給出實(shí)際的證明，但

6、相信無風(fēng)不起浪，還是多保持保持唯心吧，你也可以直接跳過這部分內(nèi)容，直接無視好了。電子商務(wù)安全問題給用戶帶來的不必多說，今年甚至在早些時(shí)候某支付產(chǎn)品被大面積小額轉(zhuǎn)帳事件已經(jīng)表明在利益的引誘下什么事情都可能發(fā)生，法律已經(jīng)組織不了他們。然而，現(xiàn)在還有針對(duì)電子商務(wù)更為猥瑣的攻擊，訂單劫持，網(wǎng)絡(luò)商城中的每筆訂單未必是按照平臺(tái)邏輯那樣走下去，也許中間有那么幾行代碼，幾個(gè)程序給終止掉，交給了其他物流及商品提供方，而用戶和這個(gè)平臺(tái)卻渾然不知呢？5）服務(wù)商風(fēng)險(xiǎn)天下沒有靠譜的服務(wù)提供商，或多或少都會(huì)存在一些不盡人意的地方，對(duì)安全理解方式的差異，都會(huì)在一些安全事件中成為決定性因素。服務(wù)商究竟會(huì)投入多少代價(jià)來保護(hù)用戶

7、的隱私，以及保護(hù)隱私的出發(fā)點(diǎn)真的是為了用戶么？比如規(guī)范這個(gè)東西，服務(wù)商會(huì)用自己的方式確定資源的所屬者，用規(guī)范來進(jìn)行管理約束，但你是否有想過，這所謂的規(guī)范會(huì)把真正的所有者權(quán)益拒之門外？你們所謂的規(guī)范是否在起反面效果，被他人利用？而服務(wù)商你們是否有所察覺，你們所掌握的大量用戶隱私，是否是從你們內(nèi)部問題而泄漏或者交易出去的？獵頭模式也許就是個(gè)很好的例子吧。黑客拿到用戶隱私（比如郵箱，手機(jī)，IM，密碼等）后，就會(huì)開始對(duì)目標(biāo)的探索。其實(shí)現(xiàn)在的用戶很聰明，應(yīng)該是安全事件和新聞的功勞，從讓人們知道不能輕易接陌生人傳來的文件，到現(xiàn)在不要在多處使用統(tǒng)一密碼，比如社區(qū)級(jí)，Email級(jí)，QQ級(jí)，電商/網(wǎng)銀級(jí)等等，聰

8、明的用戶不用多說就會(huì)給自己的隱私設(shè)定多個(gè)安全等級(jí)，但這對(duì)大部分網(wǎng)民來說應(yīng)該還要繼續(xù)加油吧，笑因?yàn)槿绻皇桥c互聯(lián)網(wǎng)行業(yè)以及安全相關(guān)領(lǐng)域，還不能很好的做到這一點(diǎn)，即使是安全人員，也會(huì)犯很勺的錯(cuò)誤，哭必須要承認(rèn)的一點(diǎn)就是密碼早就已經(jīng)不是可靠的認(rèn)證因素了（郵箱也快了），我們不提各種密碼庫這個(gè)最直接的方法，簡(jiǎn)單的轉(zhuǎn)個(gè)彎：密碼提示問題答案，密碼保護(hù)郵箱，這兩個(gè)基本等同于密碼的東西，就算你的密碼已經(jīng)可以和達(dá)芬奇般的相媲美了，但這其他的關(guān)聯(lián)因素你有考慮到么？做為用戶的你是否會(huì)如實(shí)的使用“我的生日是那天”，“我的父親叫什么”，“我的大學(xué)叫什么”此類問題？你是否會(huì)在你鍵盤上很愜意的用鍵盤區(qū)域組合做為提示問題？你是

9、否密碼做到了獨(dú)立，而密碼提示問題、郵箱卻沒有？你是否被自己雜亂無章的密碼保護(hù)郵箱關(guān)系搞暈？而服務(wù)提供商是否想到了，用密碼提示問題取回重置密碼的用戶并非是真正的所有者在操作？自己的會(huì)員庫是否已經(jīng)在產(chǎn)業(yè)鏈中滿天飛而自己還在夸夸其談自己的安全？你是否會(huì)考慮到自己資源有效利用而不對(duì)用戶進(jìn)行有效的確認(rèn)回收資源？你的隱私安全保障系統(tǒng)真的靠譜嗎？用戶合法認(rèn)證后就不在考慮隱私安全問題？想說的太多，做為用戶和服務(wù)商對(duì)安全都有很多要反思的地方。一個(gè)被“專家”，“安全人員”一直推薦強(qiáng)大密碼來保障安全的方法，都會(huì)因?yàn)樽约汉退撕芏嘁蛩厮鶎?dǎo)致的問題而變的不堪一擊甚至毫無意義。好了，該醒醒了，不要只拿軟件生成的隨機(jī)高強(qiáng)度

10、密碼來保護(hù)自己的隱私了。002 “云”存儲(chǔ)隱私風(fēng)險(xiǎn)由于“云”時(shí)代的到來，用戶的隱私更是被傳遞到了“天空”中的每一個(gè)角落，在用戶還在盡力對(duì)抗傳統(tǒng)隱私保護(hù)的同時(shí)，“云”所帶來的隱私泄漏問題已經(jīng)拉開序幕，而且較結(jié)果來說，“云”帶來的隱患更為致命。DropBox開辟了一個(gè)數(shù)據(jù)存儲(chǔ)新的時(shí)代，使用戶的數(shù)據(jù)保管，使用更加靈活與安全。曾經(jīng)也有過類似產(chǎn)品，但由于“云”概念的推動(dòng)，加上由于它的成功，使國(guó)內(nèi)外更多打著“云”存儲(chǔ)旗號(hào)的產(chǎn)品撲天蓋地而來，更為迅速的占領(lǐng)PC，mobile，pad設(shè)備，一副勢(shì)不可擋的架勢(shì)，但捫心自問，你們真的準(zhǔn)備好了嗎？當(dāng)用戶蜂擁而至?xí)r，是否考慮到了數(shù)據(jù)相互間訪問控制問題，是否真的做到位了

11、？多平臺(tái)的客戶端，是否有仔細(xì)研究過他們的安全風(fēng)險(xiǎn)差異？移動(dòng)平臺(tái)的用戶可能更多時(shí)候會(huì)暴漏在公共網(wǎng)絡(luò)或不安全的WIFI環(huán)境中，這些用戶更容易使用移動(dòng)日程，或即使備份聯(lián)系人，短信，郵件內(nèi)容等信息同步到“云”平臺(tái)，這樣與傳統(tǒng)的文件存儲(chǔ)截然不同，安全更是上升了一個(gè)等級(jí)，更是與用戶個(gè)人隱私息息相關(guān)。用戶對(duì)于“云”的存儲(chǔ)服務(wù)來說，照片、視頻、文檔等數(shù)據(jù)除了分享存儲(chǔ)外，還有一個(gè)重要的需求就是備份。備份數(shù)據(jù)對(duì)于用戶的意義是極為重要的，輕則為市面上少見的資源，重則個(gè)人、企業(yè)機(jī)密數(shù)據(jù)。這都源自我們對(duì)這個(gè)新生體驗(yàn)的信任，以及傳統(tǒng)方式的懷疑，畢竟云確實(shí)很好保障了用戶數(shù)據(jù)的可用性。黑客在傳統(tǒng)隱私攻擊結(jié)束后，利用掌握的用戶

12、資源，對(duì)可能存在的云服務(wù)在次進(jìn)行掃蕩，比如Dropbox，Evernote，Picasa，SAE，Icloud等各種云服務(wù)，相信那結(jié)果會(huì)另你我都意向不到，泄漏只是結(jié)果之一，還有更糟糕的結(jié)果就是篡改。我想，是時(shí)候好好整理我們七零八落的資源了。吐槽一些個(gè)人對(duì)云存儲(chǔ)隱私泄漏方面的擔(dān)憂，不管它是多么的神秘，多么的強(qiáng)大，也逃不過“木桶”命運(yùn)，它始終都會(huì)有塊短板在那里，也許是整個(gè)認(rèn)證流程機(jī)制，也許是傳輸機(jī)制，也許是用戶隔離機(jī)制，也許是服務(wù)器層面安全，也許是應(yīng)用層安全問題?！霸啤敝两襁€是一個(gè)起步摸索過程，還有很多未遇到的問題，所以很多解決方案也略顯幼稚，舊問題還未解決，新挑戰(zhàn)已經(jīng)到來，要如何面對(duì)？詳細(xì)的云安

13、全會(huì)在劍心近期的一篇文章中詳細(xì)解說，拭目以待。003 移動(dòng)終端隱私風(fēng)險(xiǎn)隨身攜帶你的隱私跑來跑去聽起來是見很酷的事情，放在哪里都不如放在身邊安心，加上現(xiàn)在智能手機(jī)的牛逼化，它已然成為日常生活中必不可少的設(shè)備，真的有那么一天移動(dòng)設(shè)備消失了，也許我們連如何出行都會(huì)忘記。人類進(jìn)步的另個(gè)體現(xiàn)就是越來越便捷的去做事情，曾經(jīng)要回到家里，坐到電腦面前來處理的事情現(xiàn)在很多都可以隨時(shí)隨地的在移動(dòng)終端上完成，這是我認(rèn)為移動(dòng)終端成為未來主導(dǎo)趨勢(shì)的主要原因。由于國(guó)內(nèi)的優(yōu)良風(fēng)氣，移動(dòng)設(shè)備不越獄，不root，不裝一堆的破解軟件，不刷機(jī)似乎都是很遜的事情。但不要忘記，所謂的越獄，不過是對(duì)你設(shè)備上的系統(tǒng)進(jìn)行l(wèi)ocalroot的

14、操作，我們將手機(jī)系統(tǒng)的安全機(jī)制主動(dòng)打破。歷史上就出過利用IOS上安裝openssh默認(rèn)密碼盜竊用戶短信，以及android上電子市場(chǎng)惡意應(yīng)用收集用戶設(shè)備信息，惡意應(yīng)用吸費(fèi)等安全先例。我自己在閑暇時(shí)間也在研究比如通過改掉用戶通訊錄達(dá)到欺騙；以及短信在發(fā)送接收時(shí)是否可以先進(jìn)行替換、截取和阻斷等操作，威脅目前的手機(jī)驗(yàn)證機(jī)制；甚至電話進(jìn)來時(shí)我是否可以獲取觸發(fā)信號(hào)，啟動(dòng)個(gè)小錄音程序，然后發(fā)給遠(yuǎn)方的某個(gè)孩紙。做這些是因?yàn)楦`取用戶信息等攻擊只能說明目前移動(dòng)終端的攻擊還不成熟，黑客還在摸索階段，但做為安全人員，我們不得不先行一步，預(yù)知可能會(huì)出現(xiàn)的攻擊。（很多靈感來自目前的帳戶手機(jī)驗(yàn)證機(jī)制，這個(gè)機(jī)制真的安全了嗎

15、？智能手機(jī)上我是抱懷疑態(tài)度的。）LBS的泛濫讓人們找到了新的樂趣，主動(dòng)將地理位置和活動(dòng)信息等進(jìn)行分享，不說已經(jīng)處于線上的信息，單單是這個(gè)功能就讓人毛骨悚然。定位信息攻擊現(xiàn)在還沒有成型，但可以展望一下它會(huì)給我們帶來的麻煩。各種移動(dòng)設(shè)備會(huì)通過GPS，WIFI，3G，AGPS等手段獲取用戶當(dāng)前的地理位置信息，在我了解的國(guó)內(nèi)某款帶有定位功能的應(yīng)用，它會(huì)將你的地理位置信息已POST方式發(fā)送包括你地理信息的數(shù)據(jù)流傳回服務(wù)器，然后返回同樣是數(shù)據(jù)流形式的數(shù)據(jù)文件，程序展現(xiàn)你附近的好友，整個(gè)流程都是明文HTTP的。假如數(shù)據(jù)傳輸格式已透明，我將北京按100平米大小的區(qū)域在地圖上切塊，然后得到經(jīng)緯度信息對(duì)全北京的經(jīng)

16、緯度范圍進(jìn)行遍歷，那我可以知道每個(gè)使用此款應(yīng)用的人所處位置，自然想遍歷某一個(gè)人的位置也有了可能。當(dāng)我想一些流氓推廣也許會(huì)涉足的更早一些：）誰會(huì)保證這種服務(wù)商的應(yīng)用和接口安全？誰又會(huì)保證我們?cè)姜z，root過的設(shè)備不存在惡意收集地理信息的風(fēng)險(xiǎn)？誰又會(huì)保證我們的通話、短信是真實(shí)的？現(xiàn)在想的應(yīng)該都是占有市場(chǎng)與撈錢吧。越是與我們生活貼近的東西，越要提高警惕。004 隱私威脅對(duì)抗隱私安全的本質(zhì)就是兩個(gè)對(duì)象相互信任問題，從用戶角度：我相信自己的習(xí)慣，我也相信服務(wù)商的努力；從服務(wù)商角度：我信任自己目前的安全保障手段，我也信任用戶會(huì)重視好自己的隱私保護(hù)。一旦用戶和服務(wù)商乃至他們自己出現(xiàn)相互信任的情況，那隱私安全

17、問題就會(huì)接踵而來，懷疑才是安全進(jìn)步的根本。如果想最大化的保障自己的隱私，不管是新步入互聯(lián)網(wǎng)的新兵，還是在網(wǎng)上摸爬滾打了幾年的老兵，都要開始對(duì)自己一系列的應(yīng)用帳號(hào)體系進(jìn)行威脅建模?？梢栽囅胱约核械恼J(rèn)證都是不安全的，那么每個(gè)認(rèn)證節(jié)點(diǎn)的淪陷它都會(huì)導(dǎo)致什么結(jié)果？會(huì)不會(huì)像多米諾骨牌一樣引起連鎖反應(yīng)，導(dǎo)致兵敗如山倒的局勢(shì)。a）對(duì)于用戶：我想，首先要做到的就是認(rèn)證因素的獨(dú)立，密碼和提示答案根據(jù)服務(wù)的唯一化；其次是認(rèn)證因素的隱形化，比如關(guān)鍵email，不要被搜索引擎錄入，最好的辦法是有專門做保護(hù)的郵箱，而不做他用，密碼與提示答案不要有可猜測(cè)的可能性；然后是認(rèn)證因素異常報(bào)警，不管我們?nèi)绾巫?，總?huì)有大意的地方被

18、人利用，那是否可以做到異常的及時(shí)發(fā)現(xiàn)，即使做不到，那也盡量定期檢查吧，最大化減少損失；最后是認(rèn)證恢復(fù)因素相互之間關(guān)系的清晰合理化，保護(hù)鏈?zhǔn)欠裼写嗳醯墓?jié)點(diǎn)。b）對(duì)于服務(wù)商：隱私保護(hù)的第一道門密碼，還是要幫用戶把把關(guān)的，哪怕是做個(gè)弱密碼的警告提示；提示問題答案，我見過好多不允許自定義問題的產(chǎn)品，這樣可以減少程序邏輯，減少了由輸入帶來的諸多不可預(yù)測(cè)因素，但作為服務(wù)商，至少給用戶一個(gè)選擇的權(quán)利吧。；密碼保護(hù)郵箱這里萬萬不可發(fā)送明文密碼給用戶，因?yàn)橐粊碜尯诳椭滥愕膸焓敲魑牡模砗诳湍玫矫艽a而不改的話用戶是很難發(fā)現(xiàn)自己帳戶異常的，最后每次密碼重置將舊密碼做個(gè)歸檔，日后做個(gè)身份判定依據(jù)也是不錯(cuò)的辦法，當(dāng)

19、然，用戶隱私你掌握的越多越直接，你的擔(dān)子也就越重。以上提到的服務(wù)商其實(shí)都已實(shí)現(xiàn)，那么在這個(gè)問題依舊的時(shí)代僅這么做還是解決不了問題的。該有些變革的東西拿來提一提了。1）新認(rèn)證因素騰訊已經(jīng)做到了這個(gè)變革，廢除郵箱取回密碼的形式，取而代之的是手機(jī)身份確認(rèn)，和三重密碼提示問題。費(fèi)掉郵箱這個(gè)不穩(wěn)定認(rèn)真因素真的是大快人心，雖然代價(jià)有些大，但效果說明一切的，不少安全人員也把QQ的安全等級(jí)與Gmail劃等號(hào)，騰訊的做法還是非常值得現(xiàn)在互聯(lián)網(wǎng)廠商所學(xué)習(xí)的。2）IP這個(gè)還是要提到騰訊的案例，異地保護(hù)機(jī)制在很多人眼中是個(gè)費(fèi)力不討好的功能，很多在外地工作的朋友回到家上QQ就出現(xiàn)了諸多尷尬，一些同事出差也因此鬧過笑話，

20、從產(chǎn)品角度用戶感受來講，這個(gè)功能還有很大的提升空間，但從安全角度來講，這是對(duì)用戶負(fù)責(zé)的表現(xiàn)。3）行為之前做過一些用戶異常分析，黑客和用戶所有者對(duì)待同一資源時(shí)有很多不同，舉例來說，你經(jīng)常登陸自己的帳號(hào)，那你會(huì)很少用到密碼取回功能；你也很少做出在出差的時(shí)候?qū)γ艽a進(jìn)行修改操作；你很少對(duì)自己的帳戶做出連續(xù)的錯(cuò)誤登陸與錯(cuò)誤密碼取回操作；看好“很少”這個(gè)字眼，因?yàn)榭傆心敲匆恍┯脩簦敲匆恍┣闆r會(huì)打破這種常規(guī)，服務(wù)商會(huì)選擇多數(shù)用戶的行為特征，那最后那一小撮用戶可能就會(huì)被鉆了這個(gè)空子成為最大的受害群體，這是一個(gè)挑戰(zhàn)，也許永遠(yuǎn)不會(huì)兩全。4）雙因素認(rèn)證這個(gè)在游戲領(lǐng)域進(jìn)步和推廣蠻快的，但做到登陸這一層我感覺還不夠，

21、還要繼續(xù)融入到后面的用戶其他關(guān)鍵修改查看等操作上，畢竟還是不能完全信任認(rèn)證這個(gè)流程，Google這里做的就不錯(cuò)，可以借鑒。你的認(rèn)證也許可以被繞過或者劫持，另一些頭疼的邏輯問題也會(huì)導(dǎo)致認(rèn)證的無力，比如下面要提到的平行權(quán)限。另外，我們也要相信，雙因素保護(hù)并不是終結(jié)，而是個(gè)新的開始，不要被經(jīng)驗(yàn)所束縛。5）平行權(quán)限幾年前測(cè)試項(xiàng)目的時(shí)候還要檢測(cè)賬戶間的權(quán)限是否通用，是否可以通過修改用戶ID達(dá)到權(quán)限漂移的效果，擁有自己的賬戶信息，就等于擁有了全站用戶信息這種情況已經(jīng)絕跡了才是。但最近看了某些電商暴漏出的問題后，感覺自己真的是大錯(cuò)特錯(cuò)了。平行權(quán)限也許還好，那些無認(rèn)證的訪問就更讓人揪心了吶。6）極端因素做為服

22、務(wù)商的你，會(huì)收回用戶的通行證嗎，再次注冊(cè)的肯定不是之前的所有者了吧，因?yàn)槲覀兌疾恢约旱膸ぬ?hào)什么時(shí)候會(huì)被回收。當(dāng)用戶密碼取回機(jī)制被多次而鎖定的時(shí)候，拒之門外的是黑客還是真正的用戶？修改密碼郵箱還要保留舊郵箱的有效性來保障用戶安全，是否也幫助了黑客？好吧，我承認(rèn)這些問題太極端，服務(wù)商也會(huì)因用戶此類需求而動(dòng)怒吧，就此打住。7）態(tài)度問題跟某國(guó)內(nèi)知名安全公司的人交流，探討一些目前風(fēng)頭正足的電子商務(wù)公司對(duì)待安全的態(tài)度。他對(duì)很多電商公司的評(píng)價(jià)可以用“物流”兩字概括，內(nèi)部根本不考慮用戶隱私以及自身安全風(fēng)險(xiǎn)，即使考慮，也是由于輿論壓力，之后又不了了之。這未必是領(lǐng)導(dǎo)層的無視，多數(shù)是由下到上的工作匯報(bào)過程中出現(xiàn)了

23、隱瞞。這也正是烏云平臺(tái)對(duì)互聯(lián)網(wǎng)的目的之一，讓廠商看到自己?jiǎn)栴}的所在，讓廠商找到可能存在的巨大安全隱患。安全問題，事實(shí)說明一切，而非一己之言。關(guān)于“拖庫”問題，服務(wù)商究竟是如何面對(duì)的呢？應(yīng)該分為兩種，一種是已經(jīng)確認(rèn)了自己會(huì)員庫外泄，但礙于壓力與束手無策，采取對(duì)用戶隱瞞的態(tài)度；另一種是對(duì)自己會(huì)員庫外泄情況渾然不知的服務(wù)商，還對(duì)自己的安全抱有一絲幻想的僥幸心理，太平一天是一天；對(duì)于這兩者，不論會(huì)員庫的泄露與否，都應(yīng)該明白一個(gè)問題，最初庫掌握在少數(shù)人手中，價(jià)值連城，隨著這份資源的共享與傳播復(fù)制，慢慢的會(huì)貶值甚至廉價(jià)出售，直至出現(xiàn)在P2P網(wǎng)絡(luò)中（也許吧哈哈），這一天到來的時(shí)候什么都晚了。通知全體用戶修改

24、密碼？別傻了，能拿走第一次就能在拿走第二次，問題的本質(zhì)不在這里。那些還在調(diào)查的服務(wù)商可以歇歇了，別把精力放在這里，還是仔細(xì)想想對(duì)策來應(yīng)對(duì)傳統(tǒng)認(rèn)證機(jī)制的加強(qiáng)與升級(jí)吧。能最大化保障隱私安全只有一種辦法，雙方互不信任，以各自的努力共同來完成隱私保護(hù)的難題。但從現(xiàn)實(shí)情況來看，用戶沒的選擇，只能信任服務(wù)商，因?yàn)閺挠脩舻倪x擇開始，就已經(jīng)決定了這一切。也就是說，現(xiàn)在互聯(lián)網(wǎng)用戶隱私保護(hù)，還是再由服務(wù)商起到關(guān)鍵性作用。所以，你的隱私，誰做主？005 勺之終極奧義關(guān)于前幾天80sec被黑事件，劍心已經(jīng)給出文章進(jìn)行了詳細(xì)的分析，其實(shí)這對(duì)于我們來說也是個(gè)好事，安全事件促進(jìn)安全進(jìn)步，這不是什么糗事。但平心而論，這次攻擊報(bào)道的矛頭針對(duì)80sec來說確實(shí)有點(diǎn)不妥，一些公司和個(gè)人在事情未公布之前做