引用:
|
作者elmaz
好諷刺!
不想猜測這件事之後會怎麼發展,
但無數已經受害的買家和賣家要怎麼舉證要求賠償?
|
會覺得諷刺,那是因為你對這方面資安問題了解不多
因為有漏洞跟重視資安,這兩件事並不衝突
可以同時存在
還是你認為有軟體可以一直更新增加新功能
然後什麼bug或漏洞都沒有的吧?
引用:
|
作者老柏(第四)
看完的感想:真可悲.....
1.他上面有說早就有人(一年前)通知露天這個漏洞,但是露天就是不補,直到他製作公開這影片,露天三小時內就把這漏洞補起來(有沒有補不知道,記者說的),也就是說露天欠人電
2.影片全英文說明,也就說影片製作者怕被露天告(不然哪個外國人這麼閒到台灣小小的平台網站測試它萬年不補的漏洞),推測露天寧可告人也不願意檢討自己的錯誤,這種漏洞要是早被抓出來露天早就被告到死了,更不用說商譽損失
3.這漏洞早發現但遲遲不補,說不定這原本就是製作者的後門,專門盜賣資料給詐騙集團的???
看到這漏洞使用方式,突然讓我想到之前艦娘跟PROXY的關係(用PROXY時有可能不用帳密自動登入別人的艦娘帳號)
|
1. 其實這也沒什麼,稱不上可悲不可悲
這本來就是淺規則,被公布的漏洞本來就是必須補
這種事情其實經常在發生
Google, MS, Facebook, APPLE處理這種問題的時候
跟露天其實沒有太大的差別
漏洞不是一定都要補的,有些根本就是垃圾漏洞
利用率低,只能在特定場合用作技術火力展示
實際上你上報了,由於利用率低所以通常是不會修補的
例如微軟每個月第二個星期的星期二發佈的那些安全更新
幾乎都是這種東西,今天發現下個月我再補也不會讓用戶造成損失
只要利用率高,能夠立既造成危害的超高危漏洞
才會在第一時間修補,這種超高危漏洞
通常我前述的那些廠商,一年被發現很難超過20個
一般在10個以內,微軟windows今年至今也只有一個
2. 這也跟商譽沒啥關係,如果這種事情真的那麼嚴重
那微軟跟蘋果早就該勒令關門了
這種會需要到錄影才能告知危險性的
通常利用率都很低,能夠發現這種漏洞問題的人在這個世界上少之又少
以影片作者Zhi-Wei Cai這個人來說,他本身就是世界級的頂尖駭客
那種利用率高的漏洞,通常只要放出攻擊代碼,或僅需要口頭描述
一般不太需要中高程度的程式人員就可以執行
之前facebook ceo馬克祖克伯也發生一件類似的事情
就是有人發現一個可以冒名亂發文在被冒充用戶的塗鴉牆的漏洞
也公開了這個漏洞,馬克祖克伯覺得這漏洞利用率低,並沒有特別重視
後來這個人就冒用了祖克伯的身分在他的塗鴉牆上貼文
然後這個漏洞很快就被修復了
3. 這種用看的就知道不會是刻意製造的漏洞
賣給詐騙集團也要有人會用才有用
不然你照他的影片你自己來做做看