今日热议主题:当用户向你报告了安全问题你会怎样做

2017-01-10 09:41:12 +08:00
 Explorare

强行热议 ( ゚∀。)

刚才刷 feed 时看到这样一条讨论串 Ask Slashdot: What Is the Best Way To Thank Users For Reporting Security Issues? - Slashdot po 主的主要意思就是说他收到了用户发来的消息,报告了安全问题,他想知道到如何感谢这类提交 security issue 的用户。本来我以为底下会说 money, thanks email, bitcoin 之类的,结果竟然有不少人同意了以下观点:

This is a stupid answer.

Here's how you should actually handle people who report security issues:

  1. If you're an IT director and it's a company employee who reported it, you need to inform the upper management that you have a possible hacker in the company, and get his ass fired.

  2. If you work in a company and someone in the general public reported it, you need to notify your legal department so they can file a lawsuit against the person for defamation.

  3. If you're in government and this was reported by someone in the general public of your country, you need to notify law enforcement so they'll be arrested for hacking and thrown in prison.

Only hackers would care about "security issues", and if that information becomes public, it will just help other hackers, so any such people need to be dealt with, extremely harshly. If you disagree, then you obviously are not in a position of power in the US.

虽然让我感到很不爽,但确实是一些公司的做法,简单的说就是甩锅,毕竟因为承认了纯在安全漏洞就等于给了用户发起诉讼的理由。但作为一个运维,有人愿意给我发邮件告诉我伺服器存在漏洞,告诉我问题的 CVE 编号、复现方式、修复方法,我会给他发一封感谢邮件。(虽然类似于有人把我家锁撬了然后告诉我我家的锁不安全)

诸位怎么看呢?

7923 次点击
所在节点    信息安全
95 条回复
Hanxv
2017-01-10 21:02:26 +08:00
時間:未知
地點:不明
人員: A, B, C, D

事件:
A, B 各自經營的一個網站,都被 C 入侵了。
C 出於友好,提醒了 A, B 。
A 看到了之後,感謝了 C 。
B 看到了之後,報警了。
於是 C 被抓了。這個事情在某個 bbs 上討論的沸沸揚揚。
D 在其之後又發現了漏洞,正好他也是 bbs 用戶之一,知曉那個事件的原委。
於是 D 提醒了 A ,然後把 B 網站上的數據拿去買,還順手把網站玩壞了。

結論:
A 並沒有任何損失,因為及時修復了。
B 名聲 經濟損失嚴重,是不是活該?就是活該。
C 做好事缺被抓了,是不是活該?就是活該。
D 這個人怎麼評價?點贊 (


// 無論生活 網絡有多亂,人心有多麼複雜。你真誠對人,總會有人真誠對你。你不真誠對人,傻逼才會真誠對你。網絡中,像 D 這種人越來越多,你永遠都不會知道自己怎麼得罪人了。而這種人做事向來都是隨心所欲,可能因為心情好而不玩壞你的網站,可能會因為心情差而暴露出你更多的隱私。和他們提法律?他們都不傻。
RIcter
2017-01-10 21:12:39 +08:00
反正我是从来不会提醒别人网站有漏洞的人,我也只做公司分配下来的渗透业务。
所谓那些站长受到什么攻击之类的我也完全不在乎,事不关己。
Explorare
2017-01-10 21:13:58 +08:00
@Hanxv B 和 D 的行为都是违法的,难道你是圣母如此真诚? A 愿意原谅 B 的非法入侵,那是 A 主动放弃了索赔权,不代表这种行为就是合法的、理应被原谅的。这个鸡汤不好喝。
>D 這個人怎麼評價?點贊
啧啧。

大家都不傻,但自认为自己行为就是合法的哪些“白帽子”该进行一下普法教育,至少下次入侵的时候别留下把柄,被起诉了又扯什么白帽子是合法的云云,法庭内外充满了快活的气氛?
Explorare
2017-01-10 21:21:46 +08:00
@kulove 不完善是真的,但目前来说还是有法可依的。'15 年的「两高关于执行《中华人民共和国刑法》确定罪名的补充规定(六)」中就增加了如下罪名
*拒不履行信息网络安全管理义务罪
*非法利用信息网络罪
*帮助信息网络犯罪活动罪

加上网络安全法、中华人民共和国计算机信息系统安全保护条例、中华人民共和国刑法中的非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪,这些法条足以给未经授权进行安全渗透测试的行为定义为违法行为了,至于是否犯罪还要看造成的损失。如果入侵者主动告知漏洞,并且经查明没有造成损失,未对计算机系统内容进行修改、获取,那么只算违法,受害者不追究的话就没事了,这里要注意是受害者有不追究的权利,而不是没造成损失就应该不追究。为什么有些人会产生这是合法的错觉?
sammo
2017-01-10 21:27:21 +08:00
你总是拿 “一个女士穿着暴露是否就该被强奸” 作比喻,你真的看不出这种比喻的问题在哪吗?

你的网站估计已经被轮奸很多次了,

或许正在被轮奸,

而你是没感觉的 也不知道谁在这么做,

还在说 “如果被轮奸了对方要负责怎样怎样”
Hanxv
2017-01-10 21:29:46 +08:00
@Explorare
我從未說他們的行為是合法的,我也從未說過什麼應該 什麼不應該。
我說的只是人與人之間的態度,請找准核心。

另外,這是實例而不是雞湯。
D 被點贊是用戶的行為,而不是我個人。

至於白帽子的行為,我的觀點很簡單,活該。
Hanxv
2017-01-10 21:35:24 +08:00
@sammo 女士穿著暴露而被強姦,關於這個,我有一個很好的反駁論點。

一個精神病患者,在大街上犯病。看到那位女士穿著暴露,頓時就紅了眼撲上去了。

不是她活該,還是什麼?

如果她穿著正常,被強姦的機率只是 1/精神病患者眼前所有女性,甚至是 1/精神病患者眼前所有人。

穿著暴露增加了被強姦的機率,怪精神病患者咯?
怪他有精神病 太愛美 性取向太正常?
Explorare
2017-01-10 21:37:25 +08:00
@sammo 那么这类白帽子的行为算什么呢?蹭了一下没插进去?插进去了没射在里面?
虽然说没被抓住就不算犯法。但你被抓住了,或者主动给送上去了,主动权已经不在你手上了,你已经自证其罪了,虽然还不一定是犯罪。我想表明的就是这一点。至于我网站被入侵,我自己的部落格挂在 Github Pages 上,纯静态,前置 CloudFlare CDN ,一般也不会 D 掉。公司网站有专门的安全,不归我管,和我无关,有安全 issue 直接转给安全团队负责。我自己的网站就几篇破文章,你改了我还有备份。除非我网站数据价值足够高了,我直接找搞安全的朋友给些钱授权测试啊,双方都舒服。
kulove
2017-01-10 21:41:00 +08:00
@Explorare 于理,确实是违法的;于情,在是白帽子的情况下,哪怕法律是这么规定,我认为并不能属于违法。

我平常也会测试下某些网站的漏洞,发现了也会提交到相关漏洞平台,如果这样被抓了,只能说互联网安全堪忧啊。。

两个维度,都有道理。剑可以行侠仗义,也可以打家劫舍。
Explorare
2017-01-10 21:43:37 +08:00
@Hanxv 所以你认为世界是绝对公正的,遭到不幸、损失的肯定是他自己的过失,你只要保证没有这个过失就不会遭遇同样的事情,是这样么?这是世界公正谬论。
精神病患者的家属有责任看管好精神病,如果没有家属的视情况收容在精神病院。照你这个说法,大家都穿黑袍就都清真了 ( ´_ゝ`) 可还有足控呢,黑袍至少得拖地上。
你这个反驳不成立,强行合理,把过失推到受害人身上,来完成你心中所想的公正。既然不是精神病的错,那就是受害者的错,因却斯汀。
Explorare
2017-01-10 21:51:26 +08:00
@kulove
>哪怕法律是这么规定,我认为并不能属于违法
你认为这是合法的,但法律已经如此了,对此行为有明确的界定,未经允许就是违法。我也并不是说你们搞这个就是罪犯,就该被抓之类的。只是告诉你你的这个行为如果告诉对方,然后还留下了可作为证据的记录,是对你极为不利的,这是有效的证据,或者说你就相信所有人都那么好心?不会再出第二个世纪佳缘?还没被坑够?

这样被抓你也只能尽量证明你没有对系统造成修改、破坏,没有造成损失,避免达到定罪标准,最终和解了就算了,但说“我这是为了互联网的安全”,也就能在社交网络上造势来施压了。
sammo
2017-01-10 21:53:00 +08:00
反正假如有一个网站的安全人员、如果因为他的失职导致了网站有漏洞又恰好被人利用了,
他是没有任何错的咯 ~
kulove
2017-01-10 22:01:50 +08:00
@Explorare 对,我认为不违法,认为这种情况下法律是错的。
我不能看到别人这样被抓而不发出自己的声音,真的被抓我也没办法,只希望还能有人为我发声这就够了。
原则还是要有的,我认为对的就会去坚持。
Explorare
2017-01-10 22:02:31 +08:00
@sammo 保护系统和数据是安全的职责,发生入侵事件是安全背锅、开发背锅还要看这些人的智商了,智商高点直接甩锅给入侵者,正好遇到主动送上门的,直接起诉索赔,皆大欢喜。没抓住而让安全背全责赔偿损失? EXM ?就和运维一样,不出事老被当成是吃干饭的,出了问题第一时间背锅。
Explorare
2017-01-10 22:05:59 +08:00
@kulove 希望你心中的正义有朝一日能实现,或者说从业人员道德水平都拔高到那个层次。(并非讽刺)
可这个社会既不温柔也不正确。世纪佳缘这种公司肯定还会有,就看是谁撞上去了。
caomu
2017-01-10 22:07:48 +08:00
等一下, lz 你主楼还在说会发感谢信,怎么下面就转进到白帽子就是在强奸了?。。。
Hanxv
2017-01-10 22:10:52 +08:00
@Explorare 相應的行為自然會有相應的後果。一定的後果不一定是一定的行為,但一定的行為同樣也不一定是一定的後果。
聽你的意思,你似乎認為任何事情都是絕對的?

而且,請你弄清楚,我們談論的是人與人之間的態度。你想和我討論哲學嗎?我這半吊子哲學自認為在情商偏低的程序員圈子裡還算是不錯的。

關於因為穿著暴露而被強姦。如果這是辯論賽,你會被你隊友罵。因為你扯偏題了。
我的論點是,因為穿著暴露增加了機率,所以被強姦有穿著暴露這個原因。
你和我扯責任作甚?你這麼扯,怎麼不說治安呢?還有很多可以強行牽連的事情。
Explorare
2017-01-10 22:17:44 +08:00
@caomu 我感谢是我的个人行为,不能代表所有“被检测”的人都会这么做。我也不是嘲讽或者否定白帽子,而是说未经授权的渗透测试,不管你给这种行为起什么名字,找什么理由,没授权就是违法,被抓就别抱怨。而且世纪佳缘就这么做了,圈内再声讨能怎样?可以干涉司法么?或者说继续去犯法?反正抓不住。

我不证明起诉者的道德正确,但在法律上这个行为是合理合法的,不会因为你说你是白帽子而就无效了。所以下次发安全 issue 的时候多考虑一下,这个风险值不值得承担?你检测的对象是不是世纪佳缘?
Explorare
2017-01-10 22:25:21 +08:00
@Hanxv
>因為穿著暴露增加了機率,所以被強姦有穿著暴露這個原因
但这个原因不能将强奸行为合法化啊。我网站有漏洞,但不代表你就可以合法的捅。你捅了还告诉了我,你依然是违法,我不追究是我的权利,不是你的。网站有漏洞被入侵,安全免不了背锅,但该立案的还得立案,该起诉的还得起诉,难道还说因为安全情商低所以被入侵了,所以这锅安全背?

法律能解决的事就别扯道德。

辩论的话我不敢说这是辩论,我也没这个水平。你就当是个被加班的制杖在消遣时间就好。觉得有讨论的价值就说,觉得题主制杖就算了,我也不是非要死咬着一个人让他同意我的观点。
saggit
2017-01-11 09:06:21 +08:00
以前学校机房里就贴有那些计算机安全法律, **未经授权**的各种安全检测都是非法的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/333501

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX