盐源苹果,欢迎助农支农,收获阳光自然果的您!

5熊猫网

 找回密码
 免费注册

QQ登录

只需一步,快速开始

开启左侧
查看: 405|回复: 0
 阿宝 发表于: 2014-3-24 04:47:18|显示全部楼层|阅读模式

[纪实·新闻] 评论:携程为何犯低级安全错误

 [复制链接]
源自:新京报
视点
  存储用户支付信息、明文保存用户密码……网站进行这些不规范操作,表面上是为了提供更简洁的流程,实质上却是以牺牲用户网络安全为代价。
  携程被曝支付日志存在漏洞,用户银行卡信息可被黑客任意读取。这件事情引起的震动颇大,周围很多人第一时间致电发卡银行,请求更换信用卡或挂失,因接入用户过多,一些银行客服电话还遭遇占线,这是以前从未遇到过的。
  尽管爆出消息的乌云漏洞平台在报告时措辞比较专业,但“可被任意骇客读取”几个字消费者还是懂的,这也是恐慌的根源。
  事件发生后,携程在微博上说“向用户诚恳道歉”,并称漏洞已修复,承诺愿意为未来因安全漏洞引起的用户损失承担赔付责任。但在这份“申明”中,对泄密事件的一些细节却含糊其辞,没有直面的勇气。
  比如,携程为什么要“将用户支付的记录用文本保存了下来”?在一月份曾有媒体质疑携程网的支付安全性,当时携程明确回复说“携程网的后台不会记录用户的支付信息”。是当初在撒谎,还是后来又“变坏”?网站不应保存CVV现在基本上是业内同行的规则。
  再比如,即便保存了用户信息,为什么要用明文存储?2012年CSDN泄密事件,引起广泛反思的,就是网站不应该用明文存储用户密码信息。教训如此严重,携程再犯这种错误,实在不该。
  关于网站在用户支付过程中该如何保护用户信息,国内外相关标准不止一个,国际上比较权威的是PCI-DSS(第三方支付行业数据安全标准),加入此标准认证的企业都要接受严苛的年度安全评估,并且每个季度都在接受PCI认证要求的ASV弱点扫描。但国内主动进行这项认证的网站只是少数,去年底,还有媒体报道未能在携程上找到PCI-DSS认证标识。
  携程是行业巨头,又是上市公司,居然也在安全问题上犯这样的低级错误,只能说没有把用户的利益放在第一位,同时也反映出当前中国互联网界整体安全意识淡薄的现状。存储用户支付信息、明文保存用户密码……网站进行这些不规范操作的时候未必心存恶念,它们很多只是为了提供更简洁的流程,以表面上更好的体验留住用户,以便在竞争中取得领先地位,但实质上,却是以牺牲用户网络安全为代价。
  信海光(媒体人)
『 5熊猫网 』提醒,在使用本论坛之前您必须仔细阅读并同意下列条款:
  1. 遵守《全国人大常委会关于维护互联网安全的决定》及中华人民共和国其他各项有关法律法规,并遵守您在会员注册时已同意的《『 5熊猫网 』管理办法》;
  2. 严禁发表危害国家安全、破坏民族团结、破坏国家宗教政策、破坏社会稳定、侮辱、诽谤、教唆、淫秽等内容;
  3. 本帖子由 阿宝 发表,享有版权和著作权(转帖除外),如需转载或引用本帖子中的图片和文字等内容时,必须事前征得 阿宝 的书面同意;
  4. 本帖子由 阿宝 发表,仅代表用户本人所为和观点,与『 5熊猫网 』的立场无关,阿宝 承担一切因您的行为而直接或间接导致的民事或刑事法律责任。
  5. 本帖子由 阿宝 发表,帖子内容(可能)转载自其它媒体,但并不代表『 5熊猫网 』赞同其观点和对其真实性负责。
  6. 本帖子由 阿宝 发表,如违规、或侵犯到任何版权问题,请立即举报,本论坛将及时删除并致歉。
  7. 『 5熊猫网 』管理员和版主有权不事先通知发帖者而删除其所发的帖子。
您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

© 2002-2024, 蜀ICP备12031014号, Powered by 5Panda
GMT+8, 2024-11-1 07:48, Processed in 0.046800 second(s), 7 queries, Gzip On, MemCache On
快速回复 返回顶部 返回列表