CVE-2014-0160,哀鸿遍野。
稍微靠谱些的网站都升级了。但是,仅仅升级就够了么?
阿里昨天宣布升级了openssl相关的库,其他呢?不得而知。我只知道淘宝、支付宝的会话仍然保持着,也没有提示我改密码。网上的报道说:「不过对于用户关心的“是否需要更换密码”等问题,支付宝公关部负责人陈亮没有给出答复。」
GitHub呢?发了一篇博客,说升级了软件,重新生成了证书,然后在更新系统前的会话全部撤销了。这就负责多了。毕竟漏洞一公开,像GitHub这样的大站,被一堆人尝试攻击是必然的事。但是这个漏洞存在这么久了,没公开之前就没有人发现和利用么?在我看来,如果重视安全问题,那么应当强制用户改密码,或者,提示用户相关的风险,让用户自行决定是否需要修改密码。然而 GitHub 登录后并没有任何修改密码的提示,也没有邮件通知。只在博客里提到为了确保安全,用户可以修改密码,撤销已有的应用授权等等。大约是考虑,不太在意安全的用户,不必提示什么。真正关心安全的用户,会到博客寻找相关信息的吧。
技术上,提示用户修改密码很容易做到。阿里、GitHub都有双因子认证这样的功能,这说明它们都把自身看出是对安全性要求很高的站点,然而却并不提示用户修改密码。我想,这大概是有技术之外的一些考量。
阿里、GitHub只是举例。我的邮箱里,没有一封通知修改密码的邮件。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。