北京赛车pk10开奖-开奖纪录-[攻略]

加入收藏  设为首页

服务热线:4001000000



北京赛车开奖

揭穿谷歌


gykn.com.cn问题:你是一个价值数十亿美元的科技巨头,经过多次媒体大肆宣传,你已经推出了一个新的手机平台。然后,安全研究人员会在发布后的几天内发现产品中的缺陷。更糟糕的是,这个漏洞是因为您在手机上发送了旧的(并且已知有缺陷的)软件。你该怎么办?发布紧急更新,警告用户,甚至可能发出召回?如果你是Google,答案很简单。攻击研究员。随着周五谷歌Android手机平台制作*的一个漏洞消息,该搜索巨头迅速加大了旋转机器的速度。在首先驳回了漏洞暴露用户所造成的损害之后,匿名谷歌高管随后试图诋毁安全研究员查理米勒,后者是前NSA员工的安全顾问。未透露姓名的Google员工米勒认为,不负责任的做法是向“*”宣布他的漏洞,而不是让Big G在几周或几个月内修复这个漏洞:谷歌高管表示,他们认为米勒先生违反了一个未经编写的代码公司和研究人员之间的目的是让公司有时间在问题公布之前解决问题.Google员工正在谈论的是“负责任的披露”,这是一种披露软件产品安全漏洞的方法。虽然这是研究人员经常采用的一种方法,但它并不是唯一可用的方法,尽管公司的产品经常被分析,但它绝不是行业的“标准”。使用的方法是“完全公开” - 研究人员将在公共论坛(通常是专用于安全主题的邮件列表)上发布漏洞的完整详细信息。这种方法经常被研究人员用,因为他们发现了一家公司生产的产品缺陷,这家公司与研究人员合作的记录很差 - 或者更糟糕的是,威胁要*他们。例如,由于过去的行为,一些研究人员拒绝向Apple提供任何高级通知。第三种方法涉及将漏洞信息出售给第三方(如TippingPoint和iDefense) - 他们将这些信息传递给他们自己的客户,或者为自己保留它。发现Android漏洞的查理·米勒过去一直沿用这条道路,最值得注意的是,他以5万美元的价格m.synertone.com.cn向美国国家安全局出售Linux内核漏洞的细节(PDF)。谷歌的糟糕记录 首先,考虑安全是双面硬币的事实。如果谷歌希望研究人员首先提供漏洞信息,那么一旦修复漏洞,谷歌即将与社区(以及普通公众)合作,这是公平的。谷歌在这方面的做法是完全保密 - 不承认缺陷,当然也没有通知用户存在或已修复漏洞。谷歌的首席信息官在2007年接受“华尔街日报”采访时承认了这一点:关于安全缺陷披露,美林先生表示谷歌没有提供太多东西,因为迄今为止,其主要用户消费者往往不够精通技术安全公告,并发现它们“分散注意力和混乱。”此外,由于谷歌在其服务器上制作的修补程序对用户来说是不可见的,因此通知似乎没有必要,他说。其次,公司没有权利期望“负责任的披露”。这是一个相互妥协,研究人员向公司提供高级通知,以换取某种形式的保证,公司将采取合理行动,保持沟通渠道畅通,并在漏洞修复后给予研究人员充分的信誉。谷歌的轨道在这个领域的记录还有很多不足之处。许多顶级研究人员因泄露缺陷而未被认可,在某些情况下,谷歌一再拖延修复缺陷。最终的结果是,许多沮丧的研究人员选择在尝试向谷歌提供高级通知后碰到砖墙后,选择遵循完全公开的路径。在我发现一些相当严重的缺陷后,我可以亲自确认这一经验。商用Firefox工具栏早在2007年。虽然Mozilla和雅虎在一天左右的时间内回复了我的初始电子邮件并保持了沟通渠道的开放,但谷歌一再给我打电话,我几个星期都没听到任何消息。 。最终,Google在我公开发布漏洞后一两天就修复了这个漏洞,这是我最初给公司私下通知后45天。因此,我对那些撰写Google的研究界人士表示极度的同情。这是一个相当不起眼的漏洞 一旦我们真正了解漏洞的细节,以及米勒的披露,谷歌的情况看起来更糟。一个已知的漏洞:Android平台已经建成m.wxlnbx.cn
版权所有©北京赛车pk10开奖-开奖纪录-[攻略] 北京赛车pk10开奖_风中有朵雨做的云_白蛇:缘起 0 网站地图