用戶應(yīng)主動承擔(dān)安全責(zé)任

雖然一些常見的威脅,軟件平臺都可以嘗試進(jìn)行防御,但出現(xiàn)問題的直接原因卻往往在用戶的使用環(huán)節(jié)上。

Web 2.0的安全問題今

年一再地成為媒體焦點。此前是黑客竊取Facebook賬戶,發(fā)垃圾信息兜售假藥; 現(xiàn)在則發(fā)現(xiàn)美國前總統(tǒng)比爾?克林頓、著名說唱歌手喬?巴登等人的私密Twitter消息均可通過Google搜索到; 甚至還有人注冊了假賬戶全程跟蹤發(fā)布私密消息。

在過去一年里,Facebook和Twitter出現(xiàn)的這些紕漏,在技術(shù)圈內(nèi)掀起了不小波瀾。人們開始懷疑,軟件業(yè)是否有應(yīng)對Web 2.0安全問題的能力。這種懷疑并非毫無道理,事實證明,解決安全問題僅僅靠軟件開發(fā)商是遠(yuǎn)遠(yuǎn)不夠的。

一方面,軟件開發(fā)商通常都不是什么安全專家。即使某些企業(yè)中的開發(fā)人員接受過安全培訓(xùn),也基本上是走馬觀花、學(xué)過即忘。企業(yè)和開發(fā)人員最看重的還是軟件的功能特點,“是否支持密碼登錄”、“是否支持SSL”等等。除非栽過幾次跟頭、丟幾次臉,否則誰也不會注意到安全性。

以Twitter為例,以前它想當(dāng)然地認(rèn)為自己的工程師可以解決所有問題,直到過去一年里該網(wǎng)站出現(xiàn)了“跨站腳本錯誤”等一連串的安全事故,才意識到這個問題有多嚴(yán)重。由于不想因安全問題而名譽(yù)掃地,他們已經(jīng)從外面請了顧問尋找編碼中的安全漏洞,也開始招聘全職人員負(fù)責(zé)產(chǎn)品的安全性。不過,我想Twitter現(xiàn)在只會像許多公司一樣,發(fā)現(xiàn)高水平的網(wǎng)絡(luò)安全人才是多么難找。

但另一方面,如果我們研究一下Twitter的使用情況就會發(fā)現(xiàn),這些安全問題未見得都是軟件平臺本身的問題。例如,有人惡意侵入名人的Twitter賬戶,發(fā)表虛假帖子,或侵入Twitter員工的賬戶。雖然一些常見的威脅,軟件平臺都可以嘗試進(jìn)行防御,但出現(xiàn)問題的直接原因卻往往在用戶的使用環(huán)節(jié)上。

有些人把自己在所有網(wǎng)站的賬戶密碼都設(shè)成同一個,其中很可能就有網(wǎng)站被黑客入侵。有些人則把密碼設(shè)得非常簡單,根本經(jīng)不起黑客破解。還有人沒能識破“釣魚網(wǎng)站”,不小心把個人信息輸入了虛假網(wǎng)頁。Twitter對此很是擔(dān)憂,因為它上面如Bit.ly和 Mr. Tweet這樣諸多附加服務(wù),都需要用戶輸入個人信息。Twitter的員工已經(jīng)被要求選擇安全性強(qiáng)的密碼,而更應(yīng)該做的是提醒它的用戶們也這么做。

事實上,在大多數(shù)情況下個人信息被竊取的原因都是終端用戶的錯誤行為,抑或他們沒有采取應(yīng)有的防護(hù)措施。安全性總是落后于創(chuàng)新的,AJAX技術(shù)和云計算應(yīng)用模式,在一定程度上導(dǎo)致Web 2.0不可避免地存在安全漏洞。不過這些與用戶自己埋下的那些潛在威脅比起來,就是小巫見大巫了。人們總是習(xí)慣輕信他人,這種輕信的弱點也最容易被人利用。如果用戶們對此不加警惕,即使軟件本身沒有任何漏洞,安全問題依然會廣泛存在。