網際網路上最受信任的公司之一是由一個青少年擁有的。
今天上午我們瞭解到,PayPal的雙因素認證設定有一個相當大的漏洞,在這裡詳細介紹。發現該漏洞的研究人員是一名17歲的年輕人,他在發現澳大利亞**網站漏洞方面做了令人印象深刻的工作,早在今年6月,他就首次向貝寶(PayPal)報告了該漏洞,但在兩個月的廣播沉默後,他公開了該漏洞。
公司很少關心安全問題
這不是PayPal第一次遇到雙因素問題,也不是第一次表明雙因素可能有自己的問題——但對於一家處理資金的公司來說,這並不是一個好現象。使用者不應該驚慌失措,前提是沒有人知道他們的密碼,但是我們告訴人們註冊雙因素身份驗證是有原因的,所以發現PayPal使用了一個考慮不周的cookie,讓你繞過了整個過程,這是很尷尬的。該公司表示“正在努力儘快解決問題”,但考慮到兩個月的交貨期,該公司還沒有採取任何措施來解決問題,這一點並不令人放心。
不過,這並不奇怪。安全研究人員喜歡這類***,因為他們以找到***為生,但從角落辦公室的角度看卻大相徑庭。公司很少關心安全問題,即使公司內部有各種各樣的人關心。良好的安全性是昂貴的。這通常意味著以某種方式構建服務,讓使用者多走一兩步,而這是大多數公司根本不想做出的犧牲。
考慮到安全性和可用性之間的選擇,公司每次都會考慮可用性
貝寶的bug就是一個很好的例子。貝寶(PayPal)想讓eBay使用者更容易連結自己的賬戶,因此該公司設定了一種特殊的cookie,可以識別來自eBay的任何人。事實證明,這種cookie也讓羅傑斯繞過了貝寶的雙重保護。修複它應該很簡單,只需禁用cookie並讓eBay使用者以老式方式登入即可。但是如果PayPal這樣做了,那麼連線賬戶的使用者就會減少,這將給公司帶來更多的損失——比他們可能因為這個錯誤而損失的錢還要多。考慮到安全性和可用性之間的選擇,公司每次都會考慮可用性。
這是每個漏洞報告的核心問題:研究人員想要修複它,而公司卻不想。我通常更同情安全方面,但公司也有道理。很難**出沒有漏洞的軟體,就像很難**出一扇無法破門而入的門一樣。隨著安全性的提高,收益遞減的趨勢很快就會出現。你可以在你的房子上安一扇三英寸的鋼門,但它又醜又重,你不想。相反,你相信沒有人會願意踢你的門。除了像Heartbleed這樣一代人中只有一次的漏洞之外,大多數安全故障都不會有太大的影響,特別是對產生這些漏洞的公司來說。六個月後,很難說Goto Fail對蘋果的底線有多大影響。
相反,負面影響表現在生態系統層面。我們只剩下一個相對不受保護的網路,沒有什麼是完美的,而且(正如奎因·諾頓所說)一切都被破壞了。像美國****局和中國61398部隊這樣的重量級人物可以收買漏洞,闖入大多數系統,而任何沒有企業安全預算的人都只能自謀生路。PayPal並不是最糟糕的案例——沒有人會因為這個漏洞而死亡或坐牢——但它又是一個例子,說明瞭為什麼安全世界看起來如此暗淡。問題不是我們不能保護自己,而是我們不想保護自己。
美國東部時間8月5日下午5:24:更新內容包括貝寶的官方回應。
...遊戲——這一切對你的路由器都是一樣的。當涉及到你的網際網路連線時,所有這些都有同等的優先權 ...
...務和/或支付訂閱費,而不是從購買的硬複製下載。即使網際網路本身也可以被視為SaaS,因為我們並沒有購買AOL磁碟來將我們的計算機連線到internet的時間有限。 ...
儘管網際網路非常棒,但瀏覽網頁往往會讓人惱火。這裡有一些擴充套件和外掛來解決常見的網際網路煩惱。 ...
... 移動裝置有兩種基本的網際網路連線。兩者的連線方式基本相同。但是,裝置如何連線以及誰可能在這些連線上看到您的活動各不相同。 ...
...多人報告說,在使用torrents下載檔案後,他們收到了來自網際網路服務提供商的通知。你的ISP怎麼知道?一切都取決於BitTorrent的工作方式。BitTorrent的匿名性要比乍一看要小得多。 激流是如何工作的? internet下載涉及從遠端伺...
...路於2016年首次被發現,它接管了數量空前的裝置,並對網際網路造成了巨大破壞。現在又回來了,比以前更危險了。 新的和改進的mirai正在感染更多的裝置 2019年3月18日,帕洛阿爾託網路公司(Palo Alto Networks)的安全研究人員...
...擊的網站,或各種其他網上詐騙的禍害。 向HTTPs的轉變對網際網路來說仍然是巨大的!根據谷歌的統計,在Windows上Chrome中載入的網頁中,80%是透過HTTPS載入的。而Windows上的Chrome使用者88%的瀏覽時間都花在HTTPS網站上。 這種轉變...
...更煩人的時候,像Furby Connect和i-Que智慧機器人這樣的新型網際網路連線玩具比它們的前輩更聰明,可以讓你的孩子提問、得到答案、傳送音訊資訊等等。多虧了未修補的安全漏洞,它們也更危險。 這些玩具中不僅有許多收集到...