国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　攜程事務(wù)在微博上已沸沸揚(yáng)揚(yáng)了，良多伴侶還不太清晰全部過程，也不體味縫隙環(huán)境， 這個(gè)事務(wù)最早被暴光是在烏云(wooyun.org，白帽子縫隙發(fā)布平臺(tái))上的一個(gè)縫隙概述：

　　縫隙詳情描述：

　　因?yàn)閿y程用于措置用戶付出的安然付出辦事器接口存在調(diào)試功能，將用戶付出的記合用文本保留了下來。同時(shí)因?yàn)楸Ａ舾冻鋈沼浀霓k事器未做校嚴(yán)格的基線安然建設(shè)，存在目次遍歷縫隙，導(dǎo)致所有付出過程中的調(diào)試信息可被肆意駭客讀取。言下之意就是你只要用了這個(gè)接口進(jìn)行付出，你提交的信息就被存在了辦事器，假定有黑客可以進(jìn)侵該辦事器的話，就可以讀取到這些內(nèi)容。攜程官方給出 的評(píng)論是說在調(diào)試過程中間，有兩小時(shí)擺布用戶的付出信息是被明文保留在辦事器上的，此中最嚴(yán)重的是諾言卡信息泄漏，包含但不限于持卡人姓名身份證、銀行卡 號(hào)、卡CVV碼、6位卡Bin等。比較榮幸的是，這些數(shù)據(jù)沒有被保留在任何數(shù)據(jù)庫里面，只是存在日記中間，看起來很像是一場(chǎng)不測(cè)，比起一些直接保留私密信 息進(jìn)數(shù)據(jù)庫的行動(dòng)，這個(gè)從責(zé)任上看是忽視，不算是卑敗行動(dòng)?？墒羌耐厦嬲f的是假定有黑客進(jìn)侵的環(huán)境。事實(shí)上還真就可以進(jìn)侵， 因?yàn)榇嬖诹硗庖粋€(gè)縫隙——安然日記可以遍歷下載! 這個(gè)的啟事?lián)y程本身人說是webconfig開了目次遍歷，具體環(huán)境我也不太清晰，但是就是這第個(gè)遍歷縫隙，把影響擴(kuò)大年夜了，致利用戶不克不及不往換卡，人心 惶惑。可是這個(gè)縫隙也某種程度轉(zhuǎn)移了寄望力，讓攜程把用戶的目光轉(zhuǎn)移到：覆滅遍歷縫隙，就可以呵護(hù)住用戶隱私安然了。那么假定這個(gè)安然日記遍歷的縫隙沒有爆 出來的話，就是安然了嗎？這就好比你在我的店里消費(fèi)，刷卡，我拿往刷POS機(jī)的時(shí)辰，把你的卡號(hào)和暗碼記在了一張紙上，假定我把它鎖到一個(gè)保險(xiǎn)箱里，我也不盜你的卡，你我城市息事寧人，可是很不幸有一天保險(xiǎn)箱被人撬開了，你的卡被盜刷了， 這下麻煩就來了。 攜程很不幸就中了這個(gè)獎(jiǎng)， 我覺得作為一個(gè)上市公司，這個(gè)是開辟人員的忽視，不該該影響全部網(wǎng)站的安然諾言，我相信攜程必然會(huì)正視和警戒此類事務(wù)。但是這個(gè)事務(wù)帶來的標(biāo)題問題是，到底有 多少網(wǎng)站有暗藏泄漏我們隱私的風(fēng)險(xiǎn)？有哪些網(wǎng)站在明文傳輸和保留我們的私密信息？很不幸，這個(gè)謎底多到讓人不可思議， 因?yàn)閲?guó)內(nèi)的安然意識(shí)還處在上個(gè)世紀(jì)的程度， 直到往年安然行業(yè)火了一把后，大年夜家才開端重視收集安然。良多用戶在上彀的時(shí)辰，其實(shí)不會(huì)叫真一些網(wǎng)站的聲明，而采納了默許的信賴。 而在國(guó)外，只要觸及敏感用戶隱私的網(wǎng)站，都需要一個(gè)很是復(fù)雜的聲明，傳播鼓吹盡對(duì)不會(huì)存儲(chǔ)不該存儲(chǔ)的信息，也不會(huì)向用戶扣問隱私信息(反欺騙提示)?？梢姡占踩皇炙嚤或_然復(fù)雜繁瑣，可是手藝標(biāo)題問題不成怕，可駭?shù)氖且庾R(shí)標(biāo)題問題。 我們?cè)诠ぷ髦虚g不管是無意仍是成心的，沒有把用戶隱私放到一個(gè)神圣的地位來對(duì)待。用戶本身也不會(huì)發(fā)現(xiàn)，你泛泛往一個(gè)網(wǎng)站，你很可能利用的就是你付出寶的暗碼， 假定這個(gè)網(wǎng)站保留下來了，你底子就發(fā)覺不到， 假定被泄漏了， 在現(xiàn)行法令下，法律機(jī)構(gòu)抓不到黑客的話，也很難究查到網(wǎng)站的責(zé)任，這個(gè)苦水就只有本身吞了。而在國(guó)外， 身份盜取或是諾言卡欺騙都是聯(lián)邦重罪， 為了預(yù)防和沖擊可能的犯法，諾言卡公司和金融機(jī)構(gòu)每年投進(jìn)大年夜量的經(jīng)費(fèi)，結(jié)合治理收集付出安然。此中最聞名的是 PCI-DSS compliance 和諾言卡3D驗(yàn)證，此中PCI 是預(yù)防信息泄漏， 3D是避免盜守信息者取利。甚么是PCI-DSS呢？ 攜程的這個(gè)接口屬于站內(nèi)付出，在國(guó)際上有一個(gè)尺度是用來治理付出網(wǎng)站安然的，簡(jiǎn)稱是PCI compliance， PCI就是 Payment Card Industry， DSS就是data storage security——數(shù)據(jù)安然，PCI這個(gè)尺度要求很是高，是需要時(shí)局更新的。供給PCI驗(yàn)證辦事的公司凡是會(huì)多方面地地毯式掃描，會(huì)找出各類縫隙， 還要你在申請(qǐng)的時(shí)辰嚴(yán)格聲名不克不及保留不該存的信息，和不成以不利用 SSL 加密數(shù)據(jù)傳輸(避免數(shù)據(jù)嗅探)。我之前本身的網(wǎng)站申請(qǐng)過first data等公司的站內(nèi)付出辦事，PCI將我熬煎地不可，并且每3個(gè)月都需要更新一次。明天我會(huì)寫一篇本身小白期間申請(qǐng)PCI的慘痛經(jīng)歷。 再說一下3D驗(yàn)證， 這個(gè)在不合國(guó)度有不合的做法，大都是經(jīng)由過程大年夜數(shù)據(jù)查驗(yàn)?zāi)闶遣皇鞘窃诔３＠迷O(shè)備和IP上登錄，和你的行動(dòng)是不是正常(盜取paypal的黑客即便是在被盜用戶本身 的機(jī)械上都有可能在提現(xiàn)時(shí)被鎖號(hào)) 假定不是的話彈一個(gè)小窗，需要輸進(jìn)加倍隱私的信息， 可所以銀行的暗碼呵護(hù)標(biāo)題問題，也多是生日，社會(huì)保險(xiǎn)號(hào)等，目標(biāo)是驗(yàn)證利用者確切是你。以上兩路大年夜招加起來是不是能完全避免信息泄漏的損掉呢？ 當(dāng)然也做不到100%盡對(duì)安然， 可是起碼這表現(xiàn)了一種立場(chǎng)和意識(shí)。國(guó)內(nèi)大年夜大都公司泛泛不把安然落實(shí)到實(shí)處，敷衍塞責(zé)，無邪爛漫。 比及出了標(biāo)題問題標(biāo)時(shí)辰再修復(fù)和危機(jī)公關(guān)。我相信攜程必然有能力做到完全的PCI compliance 并且不時(shí)刻刻保持更新， 也有這個(gè)實(shí)力往把收集安然辦法做到國(guó)際水準(zhǔn)，可是它卻沒有做到，就跟大年夜大都其他網(wǎng)站一樣。那為甚么沒有機(jī)構(gòu)往監(jiān)管如許的行動(dòng)呢？ 在一個(gè)連地溝油毒奶粉沒有FDA如許的嚴(yán)格尺度監(jiān)管的處所，PCI確切不是一個(gè)性價(jià)比高的東西，還不如花點(diǎn)錢多投點(diǎn)告白來點(diǎn)流量更實(shí)際。