Google開闢網頁向除錯者道謝
CNET新聞專區:Joris Evers 02/11/2006
新聞連結: http://taiwan.cnet.com/news/software/0,2000064574,20111226,00.htm
Google上個月悄悄在自家企業網站上增闢新網頁,在提供網站安全資訊之餘,也向找出並回報程式瑕疵的資安研究員致意。
Google把曾經回報安全性弱點的個人與組織一一列名,刊登在新網頁上,藉此向他們致謝。資安研究員說,就大型網路公司而論,這可說是前所未見的創舉,在雅虎、AOL的網站都未見過這種道謝名單。
Google工程部副總裁Douglas Merrill說:「我們想感謝見義勇為的人們,並大大地公開肯定他們高超的技能。我認識的資安研究員都特別為了『技客可信度』(geek credibility)而躍躍欲試,因為可以說『嘿!瞧瞧我做了什麼,很酷吧!』」
傳統軟體公司通常只在安全通告中附帶一提抓錯者的名字,聊表謝意。但在Web 2.0的時代,線上應用程式沒有這種提醒使用者安裝修補程式的安全公告(alert)。
WhiteHat Security技術長Jeremiah Grossman說:「就網路架構的軟體來說,電子郵件公告或告示板已不適用。當網路軟體公司推出安全修補程式時,使用者不必自行修補。」Grossman名列Google網站致謝的名單之中。
新弱點
專家說,Web 2.0讓網站增添豐富的新功能,提供媲美桌上型電腦應用軟體的體驗,但安全風險也隨之增加。熱門的郵件論壇(mailing list)常常指出Google等各大網站新發現的安全漏洞。
Merrill說:「我們剛開始學習這種高度互動的、集體式的開發形式,所以仍有許多改進的空間。」
這些新類型的網路軟體瑕疵包括:跨站腳本臭蟲(cross-site scripting bug),可讓詐騙者發動網路釣魚(phishing)攻擊;JavaScript相關的弱點,則讓惡徒發動大規模的攻擊和惡意的連結;偽造跨站要求 (Cross-site request forgery;CSRF)則能造成惡意網站把要求(request)轉嫁給受信賴的網站。
唯有遵循「負責揭露」原則的資安研究員,才上得了Google的感謝名單,也就是排除未先知會軟體或服務公司、就逕自公開揭露軟體弱點者。
Merrill說:「我們認為,負責任的揭露是資安業當前的首要之務。研究員一公布弱點,就會有駭客依樣學樣發動攻擊。最好不要讓使用者暴露於那些攻擊之中。」
截至10月31日止,「Google感謝你」的名單上已出現12個名字,有個人、團體也有公司,包括在資安界名氣響亮的Alex Shipp(任職於MessageLabs)、H D Moore、Castlecops和FaceTime Communications。(唐慧文/譯)