POPO原創DarkFrameMaster白帽駭客事件
這幾天POPO上突然很多人的留言板被封鎖,瀏覽時還會跳出一個「確認密碼」的對話框,那個是釣魚用的,POPO原創被黑了。(而且有用Inspector去看的話,會發現他會request帳號settings頁,明明就是釣魚居然還很假掰的驗證你的密碼)
這事件其實我還蠻高興的,因為這會讓全台灣成千上萬的網站當中,至少有一個,安全性提昇了,而且沒什麼人有重大損失(除了站方損失了幾天的營收,但這是應當的,後面會提到)。
但留言板上很多end users在戰駭客,很多心態都讓我冷汗直流,我看到兩個「故事」,大意是這樣的:
有個國家一直都夜不閉戶,但有一天起,開始許多住戶遭竊,搞得人心惶惶,只好上鎖,這到底是誰的問題呢?
另一個故事在這裡,大意是說:
有人破解了門鎖,還在在你家撂話記得要換鎖,不然下次把你家偷光
你認同嗎?如果你認同,最好繼續看下去,因為這想法是錯的,而且間接傷害了台灣軟體業。
這兩個比喻都不太正中這次事件,首先第一個故事,最有問題的是,舉例來說,台灣好了,你晚上睡覺也是會鎖門,為什麼現實中你會鎖門,網路上就不覺得需要這麼做呢?
第二個比喻更扯,因為這次事件的手法,說是「破解」不太恰當,而是「門鎖」根本就不存在!
end user用「你已經違反法律了」來嚇阻駭客,是很奇怪的,網站就像一棟大樓,users是住戶,如果這棟大樓保全系統很爛、管理員沒在管,導致有住戶的東西(創作心血)被竊取或破壞,難道大樓保全不會被責怪嗎?在台灣應該是,住戶會把管理員告到脫褲子吧,為什麼在網路上就不一樣呢?
是的,入侵民房是錯的,是犯法的,但不表示大樓管理員就可以不用管、門鎖不用裝。同樣的道理在網站資安也一樣。
然後ptt上也有人發表看法
很多時候沒有做好資安防護並不是工程師沒能力,而是上面的管理者罵你「做什麼系統安全啦!畫面趕快做漂亮一點啦!趕快交貨啦!」
這點在這次事件的駭客宣言投影片裡也有提到。
工程師悲歌啊!
於是漏洞就變成公司很大的成本,不擋html tag,這就是沒鎖門,被入侵,停站了,這不正是自作孽嗎?
而且這種入侵真是超客氣的,用現實的比喻大概就是:
你老是不鎖門,房子裡又有很值錢的東西,很多人都知道,但有個好心人進來貼一張紙條在收音機上提醒你,結果你只把收音機藏起來而已,門還是不鎖,於是他只好改貼在電視上,然後也沒偷東西就離開了。你頂多看電視不方便一下(看完宣言投影片就可以繼續使用正常功能)
下次搞不好就有很狠的駭客進來,這種白帽駭客的行為正是最棒的疫苗啊!(疫苗:提煉自病毒的特殊製劑,讓你可以產生抵抗該病毒的抗體)
所以,使用者們,別再罵白帽駭客了,還有,不要把密碼寫在post-it貼在螢幕上,密碼也不要用123456之類的太簡單密碼。講是這樣講,但大部分人還是不會改變吧,台灣電腦病毒率站上世界第一,不是站假的。
補言:熊熊想到,就我所知,POPO原創應該是用ruby on rails,這個framework明明預設就有擋html tag,該不會是刻意打開的吧?那就更扯了,就像故意把家裡的鎖拆掉一樣。
看到這種明顯的漏洞,應該:
看到有人不斷進行找死的行為,你知道這個行為的危險性、你具有制止他的能力,你卻什麼都不做,看著他進入毀滅的結局,這真的比較正確嗎?
並不表示駭客的行為是正確的,但是我再問一次:眼爭爭看人找死,真的就比較正確嗎?我的答案是「否」。
在沒有更好且有效的選項之下,這個行為可稱作減害。(eg. 吸毒共用針頭導致愛滋病問題嚴重,因此政府免費發放乾淨針頭,這個方式不完美,但的確減少愛滋病傳染,你說這行為對不對?)
但沒有人拿槍逼你去進行這件事,所以又有個人選擇的問題(就是有人願意用負擔法律責任,來換取對方立刻網站修正漏洞),總之這件事情很複雜,兩方都各自有問題,但我認為不見棺材不封html的站真的問題太大了,所以該站被檢察官打臉也就不意外了。(打臉來源)
順帶一提,之前看到一篇關於資料庫的密碼加密的討論,請務必觀賞:奇文共賞
朋友表示:難怪我們工程師的薪水這麼低
POPO原創被搞到停站了 |
但留言板上很多end users在戰駭客,很多心態都讓我冷汗直流,我看到兩個「故事」,大意是這樣的:
有個國家一直都夜不閉戶,但有一天起,開始許多住戶遭竊,搞得人心惶惶,只好上鎖,這到底是誰的問題呢?
另一個故事在這裡,大意是說:
有人破解了門鎖,還在在你家撂話記得要換鎖,不然下次把你家偷光
你認同嗎?如果你認同,最好繼續看下去,因為這想法是錯的,而且間接傷害了台灣軟體業。
這兩個比喻都不太正中這次事件,首先第一個故事,最有問題的是,舉例來說,台灣好了,你晚上睡覺也是會鎖門,為什麼現實中你會鎖門,網路上就不覺得需要這麼做呢?
第二個比喻更扯,因為這次事件的手法,說是「破解」不太恰當,而是「門鎖」根本就不存在!
end user用「你已經違反法律了」來嚇阻駭客,是很奇怪的,網站就像一棟大樓,users是住戶,如果這棟大樓保全系統很爛、管理員沒在管,導致有住戶的東西(創作心血)被竊取或破壞,難道大樓保全不會被責怪嗎?在台灣應該是,住戶會把管理員告到脫褲子吧,為什麼在網路上就不一樣呢?
是的,入侵民房是錯的,是犯法的,但不表示大樓管理員就可以不用管、門鎖不用裝。同樣的道理在網站資安也一樣。
然後ptt上也有人發表看法
很多時候沒有做好資安防護並不是工程師沒能力,而是上面的管理者罵你「做什麼系統安全啦!畫面趕快做漂亮一點啦!趕快交貨啦!」
這點在這次事件的駭客宣言投影片裡也有提到。
工程師悲歌啊!
於是漏洞就變成公司很大的成本,不擋html tag,這就是沒鎖門,被入侵,停站了,這不正是自作孽嗎?
而且這種入侵真是超客氣的,用現實的比喻大概就是:
你老是不鎖門,房子裡又有很值錢的東西,很多人都知道,但有個好心人進來貼一張紙條在收音機上提醒你,結果你只把收音機藏起來而已,門還是不鎖,於是他只好改貼在電視上,然後也沒偷東西就離開了。你頂多看電視不方便一下(看完宣言投影片就可以繼續使用正常功能)
下次搞不好就有很狠的駭客進來,這種白帽駭客的行為正是最棒的疫苗啊!(疫苗:提煉自病毒的特殊製劑,讓你可以產生抵抗該病毒的抗體)
所以,使用者們,別再罵白帽駭客了,還有,不要把密碼寫在post-it貼在螢幕上,密碼也不要用123456之類的太簡單密碼。講是這樣講,但大部分人還是不會改變吧,台灣電腦病毒率站上世界第一,不是站假的。
補言:熊熊想到,就我所知,POPO原創應該是用ruby on rails,這個framework明明預設就有擋html tag,該不會是刻意打開的吧?那就更扯了,就像故意把家裡的鎖拆掉一樣。
2013-02-20 補言:
因為上新聞了,這件事情又開始有些討論,所以我順便補個想法。看到這種明顯的漏洞,應該:
- 什麼都不做 → 導致該站遲早遭受毀滅性的打擊
- 與站方私下溝通 → 已經寫4次信、超過萬字,還是什麼都沒發生,顯然此路不通
- 寫文揭發,但不打擊 → 導致加速該站受到毀滅性打擊
- 親自提醒性的打擊 → 駭客被處罰,該站修正漏洞
- 親自毀滅性的打擊 → 駭客被抓去關,該站修正漏洞
看到有人不斷進行找死的行為,你知道這個行為的危險性、你具有制止他的能力,你卻什麼都不做,看著他進入毀滅的結局,這真的比較正確嗎?
並不表示駭客的行為是正確的,但是我再問一次:眼爭爭看人找死,真的就比較正確嗎?我的答案是「否」。
在沒有更好且有效的選項之下,這個行為可稱作減害。(eg. 吸毒共用針頭導致愛滋病問題嚴重,因此政府免費發放乾淨針頭,這個方式不完美,但的確減少愛滋病傳染,你說這行為對不對?)
但沒有人拿槍逼你去進行這件事,所以又有個人選擇的問題(就是有人願意用負擔法律責任,來換取對方立刻網站修正漏洞),總之這件事情很複雜,兩方都各自有問題,但我認為不見棺材不封html的站真的問題太大了,所以該站被檢察官打臉也就不意外了。(打臉來源)
順帶一提,之前看到一篇關於資料庫的密碼加密的討論,請務必觀賞:奇文共賞
朋友表示:難怪我們工程師的薪水這麼低