关于“某白帽子在乌云报漏洞，结果逮捕”，国内还有白帽子的环境吗？

早上看到了这个新闻： http://www.solidot.org/story?sid=48713 立马感觉到了一丝丝凉意！

起因：上个星期刚在 V2EX 发了一篇： https://www.v2ex.com/t/286712

后来也在网友的劝说下去 http://www.wooyun.org/ 发了一下，最后得到的乌云反馈是：小漏洞，但联系不到厂商！再过了几天，发现某某默默的把这个漏洞修复了。

当时虽然有点生气，想评论下什么小漏洞，但现在看来非常谢谢某某的处理方法。很庆幸，对于当时自己有点喝 high 、闲得蛋疼的情况下所做的事情没有造成多大的问题！

现在，这里的总结一下：

没有所谓的白帽子，放弃这个称谓吧！你所做的入侵检测，以及相应的行为在法律上都算违法。（这个是很明显的），你要承担成为被告的风险。你所谓的善意，对于被检测公司而言没法看出，没法证明！他们只能看到同样被入侵的行为。
私自检测别人的漏洞，并报告，伤害了安全公司的利益！你们都帮忙了，安全公司就越来越没有用了。
私自检测别人漏洞，并报告，伤害了被检测公司相关程序员的利益。安全的问题，不只是程序员的问题，但以这样的形式被报告出来，很可能最受伤的是相关程序员。管理层看到这个，如果不是出身于技术，对安全不慎理解，很可能会责怪相关程序员。

所以综上，白帽子的行为得利的只有白帽子所谓提交漏洞得到的那点奖励，其他相关人员都不可能收益，还有极大的被损害利益。所以，白帽子这样的行为在国内暂时行不通！

还要说的一点是，乌云在其中起的作用：我觉得非常不好。被抓与乌云拖不开关系！乌云鼓励了这样一种违法的行为，并且没有警告这些白帽子做相应的个人保护！乌云给人一种错觉：就是这样的行为在国内是安全的，是被这些厂商允许的！如果该事件已经进入法律阶段，公安部门要取证的情况下，乌云相信也得配合，将这个事件锁定到这个白帽子上。

所以，忘了白帽子吧！兴趣是兴趣，安全更重要！

mywaiting

2016-06-26 16:09:09 +08:00

看到这帖子，忍不住说两句：

1 、无论怎么对待白帽子黑帽子，漏洞就在那里，不增不减，多弱智的漏洞真心不少；
2 、乌云这样做并非完全正确，至少不算法律上的完全正确，但漏洞始终需要出口，没有公开修复的，有价值的都会被玩残。乌云的做法有它正确的地方，至少一定程度促进了互联网的安全环境；
3 、某网站的这做法，并不能掩盖它自身的安全薄弱，漏洞还有人愿意报给它说明这厂家大家还认为它有点良心。这么一闹，我相信很快某网站的数据就会在地下流得遍地都是，那时候就不是 4000 条数据的问题了，一旦被渗透，整个公司的安全架构和各种留下的 backdoor ，足够他们折腾好久好久了；
4 、现在有很多 *SRC ，也算是个每个公司自己的乌云，因为安全漏洞真心不可避免，懂得安全的公司会对帽子们好一点的；

最后，越来越多这样的事情，不说别人，至少我是发现了就收藏起来自己玩，不要报了也不要提醒了，重回黑暗的世界，这样看起来就天下太平是不是？嗯嗯，也只是看起来而已