>下一篇
没有了
Google向bug猎手表达谢意
上个月,Google在企业网站悄悄加上了一个新的页面,它可以为企业网站提供相关安全信息。
这个网页还包括了Google的一个致谢列表,列表中的人和企业曾经帮助Google报告了网站的安全隐患,他们当中包含了很多主要的互联网公司和安全研究人员。
“我们感谢这些做了好事的人,我要确定我们给予了他们作为‘极客’的足够的名望”,Douglas Merrill在一次访谈中这样说到,他是Google的工程副总裁。
“我所认识的安全研究人员在一定程度上是为了‘极客’的名望而工作– ‘嘿,瞧瞧我做的,很酷吧’”
传统的软件制造商通常使用安全顾问的建议,发现了他们产品漏洞的人给予荣誉。
传统软件需要将产品的安全信息通知用户,并且需要他们安装补丁,但是在Web2.0的世界中,在线的应用软件是不需要这种警告和建议的。大部分的Google服务并不需要将程序加载到客户自己的桌面,因此,Google只需要在自己的服务器端添加补丁。
“对基于Web的软件模式而言,电子邮件或公告通知并不适用。” Jeremiah Grossman说到,Grossman是WhiteHat安全顾问公司的首席技术官,他是Web应用软件漏洞防护领域的专家。
“当一个Web软件公司进行安全性修补时,用户不必打补丁。” Grossman是Google的致谢列表上的一位专家。
新的缺陷
Web2.0的应用日益广泛,因为不再受网站能力的界限,使网站可以提供了日益丰富的功能,与桌面软件相仿的界面体验,但与此同时,安全风险也在增加。一些流行的邮件列表中经常提到一些网站中的新漏洞,其中也包括Google。
“这是一种全新的编程方式,”Merrill说,“每一代人都会学到我们编程中的错误,我们只是在学习这种高度交互的集成式的开发方法,因此我们还有大量的空间可以用来学习如何把事情办好。”
很多Web应用软件中出现的缺陷都是一些新型的漏洞。例如,跨网站的脚本错误可能会导致钓鱼攻击;还有就是与JavaScript相关的漏洞可能会导致对网站的攻击和恶意链接;虚假的跨网站请求可能会导致不友好的网站向信任网站发出请求,最近在DVD租赁服务公司Netflix就发生了这种问题。
只有那些遵循了“责任资料公布”原则的研究人员获得了Google的表彰,“责任资料公布”是软件公司和Web公司支持的漏洞信息发布方式,在这种方式中,发现了安全漏洞的研究人员不会公开发布这些漏洞,而是联络软件商或服务商,并共享这些漏洞的细节,这样,受影响的公司就可修正这些问题了。
“我们认为责任资料公布是当前安全产业中最重要的事情。” Merrill说
“可能一位研究人员刚刚公开发布了安全隐患的帖子,很快就会出现针对这一问题的攻击,所以最好不要将用户暴露在这些潜在的攻击之下。”
Google是第一个使用致谢列表的,Grossman说,其它的Web公司,比如Yahoo或AOL,并没有使用这种方法为研究人员积累声望。
“Google明白社区的参与是信息安全中重要的组成部分。” Grossman说。
“通过支持安全社区,Google获得了他们所需的信息来保护自己的客户,这是软件厂商在过去的十年中学到的经验,Web公司需要走同样的路。”
Alex Eckelberry也赞同Google使用的方法,他是反间谍软件制造商Sunbelt的主席,他还说,Google非常容易接近,善于倾听而且对问题的响应也非常迅速。
“Google的方法就是一个很好的例子,展示了如何把事情做对。” Eckelberry说到,他也被列在了Google的这个荣誉列表上。
美国在线(AOL)可能也会考虑与Google相同的方式,一位公司的发言人Andrew Weinstein说到。
“从现在开始,我们的产品经理会向研究人员表示感谢,可能会通过博客或者直接对漏洞的发现者做出响应。”他说。
Yahoo会在必要的时候与研究人员协同工作以解决安全隐患,一位公司的代表这样说到。
“我们的关注焦点是提供安全的用户体验,我们会针对重要的安全问题提醒用户注意,并要求他们采取相应的行动。”这位代表说。但是Yahoo现在并没有在公开场合用这种方法向安全研究人员表达感谢。
微软公司在最近几个月发布了很多在线服务,包括"Windows Live"和"Office Live"等等,但时间比较短,还来不及评论。
Google向12位个人、小组和公司表示了感谢,因为他们按照“责任资料公布”原则向Google通知了产品中的漏洞,他们当中包括了一个名为“Yahoo! Paranoids”的人(或小组);还有很多知名的安全研究人员和公司,比如MessageLabs的Alex Shipp、H D Moore、Castlecops和FaceTime Communications。
“如果您在我们的产品中发现了漏洞,如果这个漏洞是新的而且可能会帮助我们从本质上提到用户体验,我们将会感谢您。” Merrill说,Google没有为这些安全建议付钱,但是偶尔会向研究人员发一些T恤衫作为感谢。
Google并没有详细说明发现了哪些漏洞,而一些传统的软件公司往往会在他们的公告牌上对安全问题进行说明。
“并不是为了保密或者以家长式作风行事,既然所有的行动都在我们这边,我们所需要做的就是尽可能快地完成这些行动。” Merrill说。
有一点是Google需要改进的,Grossman说。
“一个按照年代排序的问题报告和解决了的问题列表,这将会非常有帮助。”他说。
