維護者、道德與安全 1

作者: TonyQ (自立而後立人) 看板: Soft_Job
標題: [討論] 易用與安全
時間: Tue Feb 19 21:23:58 2013



這次的事件可以看

城邦網留言「囧」暱稱　熱心駭客獲緩起訴
http://www.appledaily.com.tw/realtimenews/article/new/20130219/166827/

轉錄新聞內文：


28歲的劉姓網頁工程師去年發現城邦原創公司旗下「POPO原創市集」、
「起點中文網」網頁安全有漏洞，熱心發電子郵件告知城邦公司，
但發現城邦遲未改善，劉男竟在去年11月7日化身駭客，

以「跨網站指令碼」（Cross-Site Scripting，簡稱XSS）攻擊該網站，
導致上「POPO」、「起點」網站留言的網友，暱稱全變成「囧」。

2個小時後，劉男發電郵向城邦公司自首，並提供解決方式，仍遭城邦提告。


北檢審酌劉男只是「白帽駭客」（指為他人測試並增進資訊安全），
想提醒該公司網路安全有漏洞，
動機出於善意，無意造成嚴重損害，且犯後立刻提供解決方法並道歉，

經城邦同意後，今天依妨害電腦使用罪將劉男緩起訴，
但須寫2000字以上悔過書，並提供40小時義務勞務。

------------------------------------------------------------------

補充，已知 Hacker 事先有先詳細告知過 POPO  bug，只是不被理會。

------------------------------------------------------------------

Hacker 自己的說明稿
https://gist.github.com/tony1223/2fac92e17822ec889ee6

來源是
http://goo.gl/FScCv

------------------------------------------------------------------


我跟朋友之間對這件事情有了爭論，我認為他可以寫文章直接揭露這個漏洞，
自己去打絕對是最最下策的行為，而這麼做受到法律的制裁，也是必須之事。

而也有另一票朋友的看法是比較接近這篇的
http://littlebmix.blogspot.tw/2012/11/popodarkframemaster.html


---------------------------------


我是認為無論如何，對網站安全性的揭露是很重要得，
SQL Injection / XSS attack / CSRF 攻擊等都是太常見的攻擊，

這件事也是搞到一個網站直接關站數天處理的，不要小看他。


以我自己的立場是如果不能確保這三者是安全的，
我在內部會不計一切代價說服公司優先處理這問題。

因為我曾經看過也經歷過幾十萬筆的資料在沒有備份的狀況下被消去。


只是作法問題，我們真的需要做到這麼極端嗎？

對於這樣的人，我們應該看待他是罪犯或是英雄？


我有我的見解，但我不覺得那是唯一的見解，所以我們來討論吧。

--

[1;36;44m      網頁上拉近距離的幫手              實現 GMail豐富應用的功臣  

[1;36m        數也數不清的友善使用者體驗      這就是ｊａｖａｓｃｒｉｐｔ

[1;30m                                                歡迎同好到 AJAX 板一同討論。

--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 1.34.116.11
※ 編輯: TonyQ           來自: 1.34.116.11          (02/19 21:24)
※ 編輯: TonyQ           來自: 1.34.116.11          (02/19 21:25)
→ diabloevagto:比較極端的想法，既然對方都不想管了，又何必去       02/19 21:43
→ diabloevagto:多管閒事呢？等到對方出事了就知道痛                 02/19 21:44
→ diabloevagto:當然這種白帽作法也是很熱心的，我覺得用官司處理     02/19 21:44
→ diabloevagto:實在不太適當                                       02/19 21:44
→ diabloevagto:但是劉姓工程師直接去做攻擊也太過衝動               02/19 21:45
→ bndan:對於對資安沒興趣照料的公司 讓他放著洞被HACK也只是剛好= =  02/19 22:02
→ bndan:至於當白帽好心這種事...我只能說沒立場別出手比較好 ~_~"    02/19 22:03
→ f1234518456:PG:在職不要打就好 要打等我離職 (煙                  02/19 22:17
推 calqlus:他怎不開補習班                                          02/19 22:20
推 thinkniht:如果是我 只會私下告知 要是該公司都不怕了              02/19 22:36
→ thinkniht:我怕甚麼XD                                            02/19 22:36
→ thinkniht:我是覺得該工程師做好事前沒有保護好自己                02/19 22:37
→ pcyu16:或許是對他們的東西還有期待吧.. 不然不管他很簡單不是嗎    02/19 22:59
推 yauhh:可能產業文化就是想要過得去而已,但專業觀點容不下這粒砂,    02/19 23:06
→ yauhh:主動做這種糾舉反而是個干擾. 像XDite之流該拿捏嘲弄輕重等   02/19 23:09
推 codemonkey:如果我看到正妹沒穿褲子，我應該不會跑過去吹氣         02/19 23:22
→ codemonkey:然後跟正妹說我只是吹氣而已，別人會幹什麼就不知道了   02/19 23:23
推 CRPKT:所以那兩個站的洞到底封了沒 XD                             02/20 00:10
推 luciferii:我絆你一跤再跟你說走路要看路, 這樣也可以嗎?           02/20 00:14
→ luciferii:有很多更正當的反應管道, 說劉男當時不是為了好玩興起    02/20 00:15
→ luciferii:我才不相信XD 又不是第一天看到駭客                     02/20 00:16
推 dryman:強烈懷疑樓上有沒有真的看過駭客（電影、新聞不算）         02/20 04:22
→ dryman:如果你看到別人家瓦斯漏氣，不講才真的是缺德               02/20 04:23
→ lovdkkkk:寫文章如果在處理前先被人惡用, 也變成是他害的啊         02/20 08:07
推 luciferii:看到別人家瓦斯漏氣點完火再講，是真的不缺德嗎?         02/20 08:07
→ lovdkkkk:損害搞不好還更大                                       02/20 08:07
→ luciferii:真的白帽才不是這樣玩                                  02/20 08:08
推 gmoz:DarkFrameMaster  XDDDD                                     02/20 09:09
推 jackyu:die hard 4.0表示:                                        02/20 09:31
推 jackyu:城邦這____公司不意外,格局有夠小,希望他們再出個大包       02/20 10:05
→ jackyu:這處罰有夠重,40小時義務勞動+2000字悔過,技術人員最需要的  02/20 10:06
→ jackyu:就是休息時間啊                                           02/20 10:07
→ jackyu:還是城邦蠢到以為你白帽不講就沒有cracker會發現?           02/20 10:07
→ jackyu:台灣商務高層不意外啊Zzz                                  02/20 10:08
→ sayya2311:...該不會是建議信寫給連SQL都沒寫過的客服人員?         02/20 10:09