360釋疑雲安全:部分網站應儘快修復登錄漏洞

來源:互聯網
上載者:User
關鍵字 應盡
在2011年伊始,金山毒霸和360就「是否洩露使用者隱私」剛剛爆發口水戰,對此,360安全專家石曉虹博士在解釋「雲安全」這項技術時表示,「360並沒有洩露使用者隱私,只是雲安全、雲計算這項全新的技術體系有可能把個別‘ 登錄漏洞’網站洩露的使用者隱私採集。 如果想從根本上杜絕這個情況,不僅安全廠商應該注意妥善處理使用者資訊,互聯網站也需要積極修復漏洞。 」  不涉及網上銀行、網路支付等帳號  目前經360安全中心驗證,目前存在「登錄漏洞」的網站數量並不多,主要是一些安全機制不嚴格的網站,並不涉及網上銀行、網上支付、網游等重要帳號。  360安全專家石曉虹博士表示,這些網站的「登錄漏洞」是因為採用了H ttpG et的方式在使用者登錄時進行身份驗證,只要關閉這項登錄方式,改用安全性更高的H ttpPost方式,就能修復網站的「登錄漏洞」。  石曉虹博士打了個比方說:網站存在「登錄漏洞」,就相當於一個人把銀行卡號、密碼以及開戶銀行都記在一張紙條上。 這是一種極不合理的保密方式,如果整張紙條丟了,就會使自己的財產面臨失竊的危險。  360已針對「登錄漏洞」採取措施  有網友評論認為,此前金山與360口水戰就是個別網站的「登錄漏洞」惹了禍。 對此石曉虹博士解釋道:「為了找到木馬攻擊源頭,360和其他國內外安全廠商普遍採用了‘掛馬網頁觸發可疑網址上傳’機制,即在使用者受到掛馬網頁攻擊時,會把當前所有未關閉網頁的U R L網址上傳到日誌伺服器上進行驗證, 以便把其加入惡意網址庫。 如果此時使用者恰好訪問了存在‘登錄漏洞’的網站,就有可能把洩露了使用者名和密碼的網址一併上傳,造成安全隱患。 」  據介紹,360安全中心已率先針對網站「登錄漏洞」採取了應對措施:當使用者訪問存在「登錄漏洞」的網站時,即便遇到未知掛馬網頁攻擊,360網盾也不再進行樣本上傳;此外,360網盾未來還將發佈一項可以檢測網站「登錄漏洞」的功能 ,當使用者打開此類網站後第一時間進行安全提示,最大限度地保護好使用者隱私。  采寫:南都記者 李寬寬
相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.