据蒋涛介绍,根据杭州安恒出具的安全审计报告,此次CSDN的部分用户数据库泄露,主要原因有四点:
第一是开源CMS系统等第三方系统存在漏洞,导致CSDN系统存在安全风险;二是应用程序存在跨站脚本漏洞;第三,网站存在大量系统后台认证漏洞,如弱口令及暴露的后台等;CSDN已经停用但还在线上的老系统也是导致此次数据泄露的原因之一。
我就在想,如果没有这次泄密事件的话CSDN是不是不知道自己的网站存在如此之多的漏洞?CSDN是国内很不错的程序员社区,我也在上面活跃过很长时间。在我的印象中,CSDN一直在不断进行网站内容建设,不断提高用户的体验,这方面我觉得CSDN做的很不错。但是最根本的东西却没有注意到,那就是用户的隐私。
不过也难怪,大家都觉得自己身处在和谐的社会。但是当有一天发现自己的门锁被撬了之后,才意识到原来世界并不是总和自己想的一样,然后就会对自己家的安全性进行重视。
所以说如果蒋总在以前主持某社区的时候发生过类似的现象,那么安全性对他来说应该是一个伤疤,所以他会格外敏感。但现实没有如果,理想状况下,这些的泄密应该会成为CSDN的伤疤,在以后的工作中,安全意识,应该深入每个工作人员的心里(不仅仅是开发人员)。
这次泄密事件除了CSDN还有很多其他的大型社区也被迫参与进来,不过好像除了CSDN,其他社区都没有进行马后炮的动作。但愿他们在私底下都进行了同样的安全审计工作。
说“泄密门”是件好事,我觉得CSDN会同意我的说法。据robbin所说,CSDN泄漏的数据并不是最新数据,那就是说这些数据早就被人偷了,只不过大家都不知道而已。
我个人认为,知道自己的帐号被盗并不可怕,被盗了,我就改吧或者干脆以后不在这上面活动了;
可怕的是,帐号被盗了,自己依然不知道,依然每天乐滋滋的去灌水,写博客。或许那一天CSDN上面可以进行在线支付了,你往里面冲了点RMB进去,然后钱不见了,这个才可怕。
视野从CSDN跳出来,到互联网上,一个叫做“乌云”的网站火了,不仅仅因为CSDN的问题,而是他上面有很多各大社区或者软件厂商的漏洞信息。虽然已经通知了厂商,但是,一个目前没有危害的漏洞,我猜测有很多厂商不愿意着手去处理,可能是觉得羊还没跑,所以他们也不愿积极的去补牢。
我觉得这次的泄密再次向所有的互联网用户,所有的互联网企业打了一个预防针,这一针的药剂就是:网站注册有风险,存放信息需谨慎。
最后还是说回到开头说的那篇文章,文章的最后是这样的:
蒋涛同时建议,在国内建立共享安全技术联盟,相关成员能够共享安全公共知识库,同时提升开发人员的安全技术技能,以保护网站数据的安全。
我觉得这个固然是好,但是意义不大,建立安全技术联盟,还不如在csdn上开一个模块,专门讨论网络安全,现在懂编程不懂安全的大有人在,CSDN有义务普及一下。建立共享安全技术联盟,我觉得不如建立漏洞公布联盟。试想你让一个不饿的人去吃饭,他能吃的下去吗?所以不如先让他觉得饿了,剩下的他自己就会去找食。
个人观点,欢迎指教。 - from the5fire.com
----EOF-----
微信公众号:Python程序员杂谈
微信公众号:Python程序员杂谈