原以为2011年就这么过去了,12月初的两篇安全总结就可以基本概括全年,可是到了12月底快过年了,却突然暴出密码泄露的大风波来。从最初的一家网站到几家,从专业网站到社区网站,再到电商、银行、政府网站,涉及面越来越广,影响越来越大,即使最后宣称“结案”,但此中说不清道不明的地方仍然存在,并没有一个完全让人放心的解释,除了要求用户修改更复杂的密码外,并没有什么更好的措施,而问题却是网站的数据库丢出去了,那么用户修改后的密码还会安全吗?已经泄露的用户资料怎么办?这些并没有更为有效的解决方案。
不是安全厂商可以在年末更火一把,他们仍然充当事后诸葛和好为人师的角色,除了继续推出应景的产品或功能(或者只是强调突出已有的产品和功能)和普及很多人本已知道却根本忽视的安全知识外,别无更惊艳的表演,而安全教育的结果有多大作用也继续打着折扣,仍然被忽视的安全问题,热度一过依然故我,技术的鸿沟不是几句话可以解除的,不懂就是挡箭牌,说了也不愿意懂,术业有专攻,交给“专业”人士就是全交了,除了疼的时候会喊以外,只有在再次无意间看见伤痕时,才会拿出来当作谈资,或者在忽然间极度敏感时也会拿出来紧张一下,误发警报吓人吓己,终无益处。
看来,安全仅靠技术来保护已经不大合适了,有心也可能无力,我能往,彼也能往,魔道高长无算,也许借力技术外的东西还是有用的,收缴禁用刀枪并不能禁止凶杀,杀人要偿命反而可以提高犯案成本,当然收缴禁用枪刀也是预防的措施。同样,律法面前人人平等,了却一些空想“呼风唤雨” 辈(只见贼吃肉,没见贼挨打)。而此律法却并不仅仅是所谓实名制,中国实名制也与韩国的实名制的目的不一样,所以真的说起来也许并不会似韩国那样失败,但如果不类似韩国的实名目的,那么也就没有真的实行的必要,何况在一个安全意识并不高、风险有点大的地方,但并不是说这不能成为一个选项,归根到底还是一个怎样提高成本的事儿,交给“专业”人士算了(人同此心)。
至少整件事在告诉我们,安全形势仍然很严峻,安全厂商不思进取,只有出事亮红灯了才找到兴奋点跳到大家的视线里,随即自愿不自愿地跳出,然后恢复平静,万事无忧。写到这,我才发现,原来现在写这个补记并不算晚,也许这才是此文的目的,在风暴平复时再敲打一下,而不是我刚开始想写时的应景凑数,不过也可能并没什么人会愿意看完看懂,最终还是沦为凑数之用。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1187.html
