下面这个“查看页面源代码”的操作,相信你跟我一样,经常会用吧?
就这样一个对我们来说再正常不错的操作,最近居然被美国密苏里州州长认定为黑客行为?还扬言“州政府会通过法律制裁任何一个入侵我们系统的人,其中也包括帮助和教唆他们这样做的人"...
因为该州长的一系列“无知”操作引发了热议,下面一起看看到底发生了啥!
以下内容转载自OSC开源社区(ID:oschina2013)
美国密苏里州近期发生了一起引发巨大讨论的“安全漏洞”事件。
根据 Ars Technica 的报道,《圣路易斯邮报》的一名记者在使用由密苏里州中小学教育部 (DESE) 维护的网站查询教育工作者的资格证时,发现了一个会暴露教师和其他学校员工社会安全号码 (SSN) 的安全漏洞。这里所谓的安全漏洞其实就是记者通过使用浏览器自带的「查看源代码」、「查看页面源代码」此类功能,发现教师的社会安全号码直接暴露在 HTML 源代码中(后文会提到这些信息经过了 base64 转码,但没被加密)。记者发现漏洞后,随即向维护该网站的政府教育部门进行报告。同时,记者所属报社也做出承诺,在修复漏洞期间不会发布任何相关信息。然而政府接下来的操作却让人匪夷所思。他们先是关闭了网站的访问权限,接着召开新闻发布会,并表示准备起诉发现漏洞的记者。州长在发布会上直言报社“企图让国家难堪并为新闻头条不择手段”。他还说道,“政府不会成为新闻媒体的棋子。政府会通过法律制裁任何一个入侵我们系统的人,追究所有帮助这个人的其他人和雇用他们的媒体公司的责任。”由于在此期间,网络安全教授 Shaji Khan 帮助记者验证了漏洞的存在,所以他后面也遭受到了政府的无端调查和指控。访问任何人都可以访问且无需登录的公共网站
查看公开的源代码(任何人都可以使用「查看」菜单选项在任何网页上轻松完成)
识别被称为"View State"的可疑源代码片段,其中可能包含此次事件中的所谓安全漏洞
将已被转码的信息转换成可读的纯文本,这也是任何人都可以完成的操作
Shaji Khan 指出,任何人都可以在短短几分钟内完成整个过程。没有任何数据被加密,也不需要密码,密苏里州没有采取任何措施来保护该州自动发送给每个网站访问者的教师社会安全号码。对于州政府新闻稿中声称一名“黑客”访问了教师社会安全号码的说法,Shaji Khan 指出这种描述是错误的,因为实际情况是“密苏里州自动将教师社会安全号码传输给每个网站访问者。发现并报告此安全漏洞的人没有试图未经授权访问或‘入侵’网站”。此外 Shaji Khan 还指出,州政府违反了“禁止公开披露公民身份证号码”的法律,且未遵循“告知数据泄露受害者事件相关准确信息”的另一项法律规定。Shaji Khan 聘请了一名律师为自己辩护,反对政府的指控。他要求州政府保留与此事件有关的所有记录,作为诉讼保留的一部分,停止“对 Shaji Khan 教授进行毫无根据的调查”,并“补偿他为自己免受各方毫无根据的指控辩护而产生的合理律师费,以及因为各方给他造成的巨大压力和干扰”。到目前为止,Shaji Khan 教授向政府提出的终止调查指控以及索要赔偿和道歉要求并未得到回应。Shaji Khan 表示,如果诉求得不到满足,他将会考虑起诉政府,探索各种途径在法庭上解决不当行为。面对路见不平的Shaji Khan教授遭受政府的无端调查与指控,众网友也是在线给州长大人补课:如果你的这个操作被指是黑客行为,你想对州长说些啥呢?留言说说你的看法吧!
技术交流群最近有很多人问,有没有读者交流群,想知道怎么加入。加入方式很简单,有兴趣的同学,只需要点击下方卡片,回复“加群“,即可免费加入我们的高质量技术交流群!
点击阅读原文,送你免费Spring Boot教程!