維護者、道德與安全 - 創業

※ [本文轉錄自 Soft_Job 看板 #1H8tpmp7 ]

作者: TonyQ (自立而後立人) 看板: Soft_Job
標題: [討論] 易用與安全
時間: Tue Feb 19 21:23:58 2013



這次的事件可以看

城邦網留言「囧」暱稱　熱心駭客獲緩起訴
http://www.appledaily.com.tw/realtimenews/article/new/20130219/166827/

轉錄新聞內文：


28歲的劉姓網頁工程師去年發現城邦原創公司旗下「POPO原創市集」、
「起點中文網」網頁安全有漏洞，熱心發電子郵件告知城邦公司，
但發現城邦遲未改善，劉男竟在去年11月7日化身駭客，

以「跨網站指令碼」（Cross-Site Scripting，簡稱XSS）攻擊該網站，
導致上「POPO」、「起點」網站留言的網友，暱稱全變成「囧」。

2個小時後，劉男發電郵向城邦公司自首，並提供解決方式，仍遭城邦提告。


北檢審酌劉男只是「白帽駭客」（指為他人測試並增進資訊安全），
想提醒該公司網路安全有漏洞，
動機出於善意，無意造成嚴重損害，且犯後立刻提供解決方法並道歉，

經城邦同意後，今天依妨害電腦使用罪將劉男緩起訴，
但須寫2000字以上悔過書，並提供40小時義務勞務。

------------------------------------------------------------------

補充，已知 Hacker 事先有先詳細告知過 POPO bug，只是不被理會。

------------------------------------------------------------------

Hacker 自己的說明稿
https://gist.github.com/tony1223/2fac92e17822ec889ee6

來源是
http://goo.gl/FScCv

------------------------------------------------------------------


我跟朋友之間對這件事情有了爭論，我認為他可以寫文章直接揭露這個漏洞，
自己去打絕對是最最下策的行為，而這麼做受到法律的制裁，也是必須之事。

而也有另一票朋友的看法是比較接近這篇的
http://littlebmix.blogspot.tw/2012/11/popodarkframemaster.html


---------------------------------


我是認為無論如何，對網站安全性的揭露是很重要得，
SQL Injection / XSS attack / CSRF 攻擊等都是太常見的攻擊，

這件事也是搞到一個網站直接關站數天處理的，不要小看他。


以我自己的立場是如果不能確保這三者是安全的，
我在內部會不計一切代價說服公司優先處理這問題。

因為我曾經看過也經歷過幾十萬筆的資料在沒有備份的狀況下被消去。


只是作法問題，我們真的需要做到這麼極端嗎？

對於這樣的人，我們應該看待他是罪犯或是英雄？


我有我的見解，但我不覺得那是唯一的見解，所以我們來討論吧。

--

網頁上拉近距離的幫手 實現 GMail豐富應用的功臣

數也數不清的友善使用者體驗 這就是ｊａｖａｓｃｒｉｐｔ

歡迎同好到 AJAX 板一同討論。

--