移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

面对技术漏洞 少些“墨染心理”

时间:2014-07-25 13:25来源:TuZhiJiaMi企业信息安全专家 点击:
近日,乌云网曝出“12306手机端so库算法泄露漏洞”,其分析,这一漏洞类型为设计缺陷/逻辑错误。该漏洞可以让人利用该算法软件模拟手机端来非法囤积车票。 犹记年初,有媒体曝光“黄牛
Tags漏洞(188)应用安全(1006)  

  近日,乌云网曝出“12306手机端so库算法泄露漏洞”,其分析,这一漏洞类型为设计缺陷/逻辑错误。该漏洞可以让人利用该算法软件模拟手机端来非法囤积车票。

  犹记年初,有媒体曝光“黄牛党”利用12306官方网站漏洞,购买付费软件进行高频访问,屯票倒卖,仅在10分钟内就刷走1245张车票,随后铁路部门采取与公安系统联网旅客身份信息的方式进行“补漏”,才逐渐平息了民众的声声“讨伐”。如今正值暑运高峰期,部分热门车次“一票难求”,在这种情形下,12306官网再次被曝出漏洞“丑闻”,大家不免会惶恐:难道技术黄牛党又要回来了?于是乎,对12306乃至整个铁路部门的质疑声、吐槽声不绝于耳。

  我们且先不说乌云网所指的“后果”会不会发生,单就此次针对12306“漏洞”的报道和民众的议论声来看,有一些现象值得注意,那就是:一看到12306存在漏洞,就推论是铁路部门的无能导致;听到漏洞可能会被黄牛利用,就怀疑票贩子将要掠夺车票资源,致使旅客只能花高价从黄牛手中买票……当然,合理的猜想和怀疑无可厚非,但实事求是、客观公正才是舆论监督的本质属性。乌云网对12306客户端存在技术漏洞的曝光,从内容上看,更像是不加分析、不搞调查进行的“有罪推定”,“黄牛若将漏洞破解,一个人就能屯购一车厢的票”,这种类似的叙述,足以催生放大民众对购票公平遭破坏、自身权益受侵害等其他的负面联想,如此“墨染心理”,不仅让尚未露面的黄牛党“躺着也中枪”,更是错打了板子、冤枉了12306乃至整个铁路部门。

  网购车票是新生事物,12306手机客户端更是去年才刚入市的行业“新手”,这两项铁路部门推出的购票新通道,确实难言完美,民众当然不会因为其对自身的定期完善和查缺补漏就认为能“一俊遮百丑”,但面对技术漏洞,更应保持公正、理智、平和的心态,少些“墨染联想”,防止听风就是雨、到处捕风捉影。因为在软件技术快速发展的今天,没有哪种技术是不存在漏洞、100%完美的,我们应把关注的目光聚焦到如何面对应对上来,聚焦在相关部门如何回应公众对信息安全的焦虑上来。

  这次的算法漏洞虽然受“火车票实名制”、“交易费用成本”、“屯票时差内需倒卖成功”等诸多现实条件的限制,然而一旦真被不法分子利用,其“破坏力”是可想而知的,特别是在节假日高峰期。因此,首先要做的,还是铁路部门自身要提升安全责任意识,技术人员今后要对产品做更严格的安全审计,不能再“水来土掩”、“头痛医头脚痛医脚”做事后“补牢”工作,要专心致志把精力放在旅客身份信息核对、各项手续的完备上,在实名制、身份证信息联网、识别验证码等网站技术的更新创新中,步步都要抢在技术黄牛们的前面。

  网络化技术化的目的是要提高效率,而非破坏秩序,无法靠技术手段解决的,就要在制度手段上想办法,在维护保障公平的购票环境方面,不仅要靠行业内的行为自律,更要强化对网络服务商的监管,一切依靠技术上的“牛高马大”插队加塞的行为都应该令行禁止,要对抢票软件销售和一切利用技术手段屯票倒卖的行为进行最严厉的打击,还民众一个公开、公平的购票环境。

------分隔线----------------------------

推荐内容