|
http://hi.baidu.com/tombkeeper/blog/item/f6576a31e20f0319ebc4af94.htm
9、你是不是腾讯的托儿?
我在《支付宝控件漏洞——到底是谁在撒谎?》中提到“除了腾讯,国内的公司我还没见到几家愿意诚实地发布自己产品安全公告的”,于是有人就认为我是腾讯的托儿。记得鲁迅先生当年曾被人诬陷“拿卢布”,今天如果有人说我“拿Q币”其实还真是件挺荣幸的事情。可惜我不但没有拿,而且每个月还给腾讯贡献10块钱的会员费。由于中国人“家丑不可外扬”的传统,能做到“诚实地发布自己产品安全公告”的企业在国内就真的是凤毛鳞角,而腾讯是其中之一,这个事实是无法否认的:
http://security.qq.com/affiche/
10、漏洞这么有害,为什么要公布,为什么要发公告?这不是害人么?
这一点是安全研究人员最容易被人误解的地方。
漏洞并不因为不公布就不存在。如果漏洞没有被一个正直的安全研究人员发现,而是被那些“挂马”的人发现,他们的确不会公布,他们会偷偷用来往用户的机器上安装木马,盗取账号。如果真的发生这种事,无论对支付宝用户,还是对阿里巴巴,都是灾难性的。
而如果软件提供者不发布安全公告而只是偷偷升级,那么会有很多用户不知道自己正在用的软件有问题,而并不去注意自己是否升级了。
大家可以想象一下如果微软从不发布安全公告会是怎样的情况。
这次支付宝控件的漏洞并不是什么太难发现的问题,而是非常容易被找出来的。居然在接近一年的时间里没有被坏人首先发现并利用(这一点我并不确定),实在是不幸中的万幸。
11、你为什么要写这些文章?你和阿里巴巴有仇么?是为了出名么?
完全没有。我既是腾讯的用户,也是支付宝的用户。我对阿里巴巴取得的成功十分敬仰,对马云先上一页 [1] [2] [3] [4] [5] [6] 下一页 |
|
|
|
|
|
|
|
