最近一段時間網絡安全事件頻發(fā)。

我說的不是類似Heartbleed、BadUSB、Shellshock這種天災級別的漏洞，面對這類漏洞，普通用戶就像面對臺風海嘯一般，無法抵御。

我想說的是iCloud艷照門，Snapchat艷照門、Yahoo郵箱用戶資料泄露以及最新未證實的Dropbox用戶資料泄密事件，它們屬于人力可挽救的事故。這些公司大多不在中國，但具備一種典型意義。換句話說：討論它們，也能對國內產生借鑒意義。

你會發(fā)現(xiàn)，這些什么門啊、泄密啊，其實都有共通之處。那就是：廠商聲明，此事與我們無關，應該都是用戶的錯。或者弱密碼，或者濫用第三方應用，或者直接不知情。

iCloud艷照門，原因評估是因為用戶弱密碼，通過iCloud上可以用腳本程序反復測試直接獲得正確密碼；Snapchat艷照門，原因評估是用戶在使用一個名為“Snapsave”的第三方應用，這個應用可以保存Snapchat上的“閱后即焚”照片，它的數(shù)據(jù)庫被黑客攻破，從而導致照片泄露；Yahoo郵箱是一起較早的事件，由于對某個漏洞修復不完全，導致黑客的二次利用；Dropbox則還沒有更準確的信息。

坦白的說，這些問題就廠商而言，確實直接責任不大（Yahoo的例外）。但對用戶輕飄飄一個聲明，于情于理都說不過。我以為有更好的做法。

用戶端安全機制的增強。

在iCloud艷照門后，蘋果為Apple ID開啟了兩部認證。如此后，每次登陸iCloud除密碼外還需要設備驗證或者短信驗證。這個功能是極好的，但蘋果只為美國等少數(shù)幾個國家開啟了這一功能，并且只作為安全項的一個補充項，并不是全局性質的默認推薦。蘋果只做一半的做法很顯然不合時宜（Washington Post對此也頗有微詞），像Google、Alipay、QQ等多家服務型巨頭這方面就做的不錯，包括“安全設備”、多重驗證、令牌環(huán)、密碼多次輸入錯誤后停止登陸等等，蘋果顯然還處在這些廠商的早期狀態(tài)，對此意識不強。

第三方生態(tài)安全的增強。

這次的Snapchat事件，是一個第三方應用的問題，據(jù)說最近還有幾家也遭遇了這個問題。這很是凸顯生態(tài)安全。我以為，第三方授權安全是絕對需要注意的。來看看QQ的例子，在前兩年騰訊下大力氣，將國內有名兒的QQ插件全封殺并告知法律風險。這件事雖然有些霸權主義，但很值得做，因為聊天軟件不保證安全那是對用戶的傷害，當然更大氣的做法是做插件生態(tài)，這個事兒不多討論。Snapchat艷照門事件，顯然是因為Snapsave通過bug從而拿到更高權限，從而保存了本該本銷毀的照片。插件生態(tài)的安全性需要時刻警惕，特別還是這類聊天類高敏感的應用。

整體安全的增強。

Yahoo和未證實的Dropbox事件，是因為被入侵從而丟失用戶資料。這兩家公司，一家太沉悶一家太新，因而沒有針對自身安全的漏洞獎勵計劃（Yahoo Mail泄密發(fā)生在2012年末，Yahoo漏洞獎勵計劃在2013年末發(fā)布）。漏洞獎勵計劃是廠商對自身漏洞發(fā)現(xiàn)者給與一定獎勵，從而可以最快了解漏洞并修復，這是業(yè)內的一種成熟做法：當白帽能從你手中獲得收入，黑客就會更難入侵。但在這之外，像蘋果、Snapchat這類安全頻發(fā)的公司也同樣沒有漏洞，這是非常令人可惜的。

其實總的說來，網絡安全事件頻發(fā)，是因為這類廠商自身面對安全問題經驗太少，一些業(yè)界通用的安全防護措施，因為傲慢或疏忽而不愿采用。到頭來嘗到苦楚，結果卻要用戶來承擔。

這真的應該嗎？

題圖來自lzamgs

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。