使用者是笨的,聰明的是駭客.. 吧?

本篇文章與學名為「無名小站」,
或是俗名為「有名大站」、「丁丁大站」的網站無關,
如果想看該站相關消息,請洽 XDite 或是 Google


因為跟書櫃還有一堆郵票奮戰的關係,
今天睡醒的時候已經是晚上了 = =||
天啊,我還真能睡呢。

依照慣例地,看了看大家的 RSS 飼料 (茶),
讀到了 XDite 寫的文章,中間提到服務合併造成的問題,
這才讓我開始思考這個問題的嚴重性。

有那麼一件事件,時間約是去年的九月份,
我想我應該有寫過類似的題目,但這次我想更為詳盡的描述。

或許有些人不知道,在某手機製造商的網站也有我的 Blog,
但某次一個不小心讓我發現,他們的 Blog 可以輕鬆地進行 XSS,
然後,我也試著用了一個非破壞性的方式去進行驗證;
畢竟我的 JS 功力沒高深到可以這樣做,我也沒理由去搞破壞。

於是,我只放了一個 redirect 的語法,
讓該站上面,只要抓到我 Blog Title 的欄位,
便會 redirect 到位於該站的,我的 Blog。

程式碼很短,只有一行,
但沒料到的是,半天過後我 Blog 的點閱率已高得嚇人,
因此該站的程式便自動將首頁的「熱門部落格」顯示成我的那個,
可想而知,他們家的首頁就這樣被我搬走了。

其實那陣子我身體不是很舒服,
在吃晚餐的時間接到該公司的網管部門「資深」經理的電話,
用有些駭人的語氣說,這樣的動作已經犯法,網管部門不排除提告。

同時我也收到了電子郵件,
但基於水星沒有水,金星沒有掠日,
以及彗星沒有撞地球的關係,我不會貼上來。
或許人類登陸火星的那天,還有機會吧 (誤)

我當時真的覺得又好氣又好笑,
但同時對於事件的發展感到無力,
因為我相信,法律是拿來懲罰不會操作法律的人的東西。

幾天後收到該公司總經理的來信,希望能通電話,
而我最後也打了電話,當時她人在上海。

我說,
服務提供者應當履行條款,確保使用者資料的安全,
今天您們稱自己為台灣最大手機製造商,
但在被一個支持者提醒站台出現重大漏洞的那一刻,
卻只會打電話威脅使用者,還拿法律條款來壓制,
這樣怎麼說都說不通吧?

當時我聽到的消息是,因為公司集中火力在推新產品,
網站服務又趕著 deadline 要上,因此 Blog 部份就這樣被擱置了。

從那次事件之後,我便知道大人們的話是不能盡信的。

一直到現在,2007 年都快過一半了,同樣的問題還是存在著。

或許您會說:「不過就是 Blog 服務嘛,有什麼大不了的?」

是啊,對我而言,確實沒什麼大不了的事情,
反正那個帳號「也不過就是有線上購物啊、個人資料什麼的」,
出了事情我只要照著使用者條款,要求賠償就好了,對吧?

但是,資料被竊或是遭到竄改,是用錢就可以解決的嗎?

我知道提供大家都愛、大家都想要的服務是很好的,
可網路環境是一片薄得不行的冰面,
一個不小心你便將深陷冰河中,無法動彈。

莫非定律告訴我們,
即使你設計了防呆功能,使用者還是有可能耍笨,
同樣地,即便規範了網路的安全性,那些 RD 也可能不大聰明..

錯誤總是會發生,只是你不知道是在哪天發生,僅此而已。

我該慶幸,該公司網站能存活,是因為使用者都是善良的,
還是應該擔心某天網站就這樣淪陷,於是個人資料遭到洩漏呢?

每次這麼說,大多數人只會覺得是我在杞人憂天,
也只會跟我說:「他們總是會修正的嘛..」

「利字當頭,誰還顧得了資安?」我這樣說著,
換個立場,或許也有些人會說:「利字當頭,資安不足就是我們的福音!」

其實,這原本不是我想寫的內容耶.. ||
看來還得再寫一篇真的日記文來貼了 (泣)