摘要:但是�����,僅僅升級(jí)就夠了么阿里昨天宣布升級(jí)了相關(guān)的庫(kù),其他呢不得而知���。阿里都有雙因子認(rèn)證這樣的功能����,這說(shuō)明它們都把自身看出是對(duì)安全性要求很高的站點(diǎn)���,然而卻并不提示用戶修改密碼。
CVE-2014-0160��,哀鴻遍野�。
稍微靠譜些的網(wǎng)站都升級(jí)了。但是��,僅僅升級(jí)就夠了么�����?
阿里昨天宣布升級(jí)了openssl相關(guān)的庫(kù)��,其他呢��?不得而知。我只知道淘寶���、支付寶的會(huì)話仍然保持著�,也沒(méi)有提示我改密碼�。網(wǎng)上的報(bào)道說(shuō):「不過(guò)對(duì)于用戶關(guān)心的“是否需要更換密碼”等問(wèn)題,支付寶公關(guān)部負(fù)責(zé)人陳亮沒(méi)有給出答復(fù)�。」
GitHub呢���?發(fā)了一篇博客���,說(shuō)升級(jí)了軟件,重新生成了證書���,然后在更新系統(tǒng)前的會(huì)話全部撤銷了���。這就負(fù)責(zé)多了。畢竟漏洞一公開(kāi)�����,像GitHub這樣的大站���,被一堆人嘗試攻擊是必然的事�。但是這個(gè)漏洞存在這么久了,沒(méi)公開(kāi)之前就沒(méi)有人發(fā)現(xiàn)和利用么�?在我看來(lái),如果重視安全問(wèn)題���,那么應(yīng)當(dāng)強(qiáng)制用戶改密碼�,或者�,提示用戶相關(guān)的風(fēng)險(xiǎn),讓用戶自行決定是否需要修改密碼��。然而 GitHub 登錄后并沒(méi)有任何修改密碼的提示��,也沒(méi)有郵件通知��。只在博客里提到為了確保安全����,用戶可以修改密碼����,撤銷已有的應(yīng)用授權(quán)等等。大約是考慮�����,不太在意安全的用戶,不必提示什么���。真正關(guān)心安全的用戶�����,會(huì)到博客尋找相關(guān)信息的吧�����。
技術(shù)上���,提示用戶修改密碼很容易做到。阿里���、GitHub都有雙因子認(rèn)證這樣的功能��,這說(shuō)明它們都把自身看出是對(duì)安全性要求很高的站點(diǎn)�,然而卻并不提示用戶修改密碼���。我想��,這大概是有技術(shù)之外的一些考量��。
阿里���、GitHub只是舉例��。我的郵箱里�����,沒(méi)有一封通知修改密碼的郵件���。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/11126.html
