網際網路不關心安全

網際網路上最受信任的公司之一是由一個青少年擁有的。...

網際網路上最受信任的公司之一是由一個青少年擁有的。

今天上午我們瞭解到，PayPal的雙因素認證設定有一個相當大的漏洞，在這裡詳細介紹。發現該漏洞的研究人員是一名17歲的年輕人，他在發現澳大利亞**網站漏洞方面做了令人印象深刻的工作，早在今年6月，他就首次向貝寶（PayPal）報告了該漏洞，但在兩個月的廣播沉默後，他公開了該漏洞。

公司很少關心安全問題

這不是PayPal第一次遇到雙因素問題，也不是第一次表明雙因素可能有自己的問題——但對於一家處理資金的公司來說，這並不是一個好現象。使用者不應該驚慌失措，前提是沒有人知道他們的密碼，但是我們告訴人們註冊雙因素身份驗證是有原因的，所以發現PayPal使用了一個考慮不周的cookie，讓你繞過了整個過程，這是很尷尬的。該公司表示“正在努力儘快解決問題”，但考慮到兩個月的交貨期，該公司還沒有採取任何措施來解決問題，這一點並不令人放心。

不過，這並不奇怪。安全研究人員喜歡這類***，因為他們以找到***為生，但從角落辦公室的角度看卻大相徑庭。公司很少關心安全問題，即使公司內部有各種各樣的人關心。良好的安全性是昂貴的。這通常意味著以某種方式構建服務，讓使用者多走一兩步，而這是大多數公司根本不想做出的犧牲。

考慮到安全性和可用性之間的選擇，公司每次都會考慮可用性

貝寶的bug就是一個很好的例子。貝寶（PayPal）想讓eBay使用者更容易連結自己的賬戶，因此該公司設定了一種特殊的cookie，可以識別來自eBay的任何人。事實證明，這種cookie也讓羅傑斯繞過了貝寶的雙重保護。修複它應該很簡單，只需禁用cookie並讓eBay使用者以老式方式登入即可。但是如果PayPal這樣做了，那麼連線賬戶的使用者就會減少，這將給公司帶來更多的損失——比他們可能因為這個錯誤而損失的錢還要多。考慮到安全性和可用性之間的選擇，公司每次都會考慮可用性。

這是每個漏洞報告的核心問題：研究人員想要修複它，而公司卻不想。我通常更同情安全方面，但公司也有道理。很難**出沒有漏洞的軟體，就像很難**出一扇無法破門而入的門一樣。隨著安全性的提高，收益遞減的趨勢很快就會出現。你可以在你的房子上安一扇三英寸的鋼門，但它又醜又重，你不想。相反，你相信沒有人會願意踢你的門。除了像Heartbleed這樣一代人中只有一次的漏洞之外，大多數安全故障都不會有太大的影響，特別是對產生這些漏洞的公司來說。六個月後，很難說Goto Fail對蘋果的底線有多大影響。

相反，負面影響表現在生態系統層面。我們只剩下一個相對不受保護的網路，沒有什麼是完美的，而且（正如奎因·諾頓所說）一切都被破壞了。像美國****局和中國61398部隊這樣的重量級人物可以收買漏洞，闖入大多數系統，而任何沒有企業安全預算的人都只能自謀生路。PayPal並不是最糟糕的案例——沒有人會因為這個漏洞而死亡或坐牢——但它又是一個例子，說明瞭為什麼安全世界看起來如此暗淡。問題不是我們不能保護自己，而是我們不想保護自己。

美國東部時間8月5日下午5:24：更新內容包括貝寶的官方回應。