1月5日,360安全中心發布安全警報稱,目前有少量互聯網站存在“登錄漏洞”,會導致其用戶的帳號和密碼在登錄網站時泄露在網址中,存在一定安全風險。360安全專家石曉虹博士表示,這些網站的“登錄漏洞”是因為采用了Http Get的方式在用戶登錄時進行身份驗證,只要關閉這項登錄方式,改用安全性更高的Http Post方式,就能修復網站的“登錄漏洞”。
石曉虹博士打了個比方說:網站存在“登錄漏洞”,就相當于一個人把銀行卡號、密碼以及開戶銀行都記在一張紙條上。這是一種極不合理的保密方式,如果整張紙條丟了,就會使自己的財產面臨失竊的危險。不過經360安全中心驗證,目前存在“登錄漏洞”的網站數量并不多,主要是一些安全機制不嚴格的網站,并不涉及網上銀行、網上支付、網游等重要帳號。
有網友評論認為,此前金山毒霸和360就“是否泄露用戶隱私”爆發口水戰,就是個別網站的“登錄漏洞”惹了禍。對此石曉虹博士解釋道:“為了找到木馬攻擊源頭,360和其他國內外安全廠商普遍采用了‘掛馬網頁觸發可疑網址上傳’機制,即在用戶受到掛馬網頁攻擊時,會把當前所有未關閉網頁的URL網址上傳到日志服務器上進行驗證,以便把其加入惡意網址庫。如果此時用戶恰好訪問了存在‘登錄漏洞’的網站,就有可能把泄露了用戶名和密碼的網址一并上傳,造成安全隱患。”
石曉虹博士進一步表示:“360并沒有泄露用戶隱私,只是云安全、云計算這項全新的技術體系有可能把個別‘登錄漏洞’網站泄露的用戶隱私采集。如果想從根本上杜絕這個情況,不僅安全廠商應該注意妥善處理用戶信息,互聯網站也需要積極修復漏洞。”
據介紹,360安全中心已率先針對網站“登錄漏洞”采取了應對措施:當用戶訪問存在“登錄漏洞”的網站時,即便遇到未知掛馬網頁攻擊,360網盾也不再進行樣本上傳;此外,360網盾未來還將發布一項可以檢測網站“登錄漏洞”的功能,當用戶打開此類網站后第一時間進行安全提示,最大限度地保護好用戶隱私。
進入論壇>>推薦閱讀
2010年最受網民關注新聞事件評選——微博元年就要過去 微博成網
2010年中國互聯網發展最快的應用就是微博服務。微博是一個基于用戶關系的信息分享、傳播以及獲取平臺。具有信息傳遞快、保真性強的特點,創造性的解決了信息傳遞的點對點問題。2010年的重要年度人物、事件微博都成為>>>詳細閱讀
地址:http://www.sdlzkt.com/a/01/20111231/227555.html
網友點評
精彩導讀
科技快報
品牌展示