初创公司的短视 – Instagram 爆出重大安全漏洞 [更新]
我相信绝大多数的人,包括我自己在内,在网络上使用的密码都是少数几个,没多少人会在不同的网络服务里使用不同的密码,虽然这样足够安全,但显然过于麻烦。
在这样的状况下,网络安全成为当前的热点也不稀奇,大众也非常关注网络应用的安全。然而,在初创公司里面,将用户信息置于危险处境的却大有人在,也许是由于规划不周,或者为了节约服务器资源,甚至于没有这方面的意识,前有今年八月 4sq 移动应用的安全漏洞,现在,则是最近火热的应用:Instagram。
11 月 4 日,有人发现了这个问题,并将其发布在 getsatisfaction 上面。
作者明确指出,Instagram 没有任何保护用户机密的措施,他们的应用居然在用明文传递用户密码!这就意味着用户的密码几乎是裸露着暴露在网络传输中。任何人,只要能抓到包,就可以分解出其中包含的用户密码。
另外,这个漏洞不单单影响到 Instagram,由于 Instagram 的应用还要求了 Tumblr 以及 4sq 的密码,而且同样在用明文传输它们,心怀恶意的人一次监控,就可能获得三个服务密码!
这样严重的安全漏洞,Instagram 不可能不知道,因为加密与否是要在规划时期就做好决定的。既然 Instagram 选择了明文传输密码,说明在他们的心中,用户信息的安全性并不是最为紧迫的需求。可问题在于,用户信息的安全对于 Instagram 来说也许当前并不重要,但对于用户来说,一旦被人抓到了密码,并因此影响到了其他服务,造成的损失,谁来负责? 商业上的考虑真的可以凌驾于用户利益之上吗?
当前的网络服务竞争激烈,要想脱颖而出,你要有一个好点子,但这还不够,还要用最快的速度把它实现出来,这样,才可能在瞬息万变的网络世界找到自己的生存空间。关注于最核心的商业逻辑,在初期只完成最重要的功能,抢先占领市场,成为了初创企业的唯一选择。如何确定哪些东西是最核心的?怎样安排工作的先后次序?当前的重点是什么?这些是在整个创业过程中,要初创者不断做出的重要决定。
然而,在缩减功能,划定最初需求的时候,除了商业上的考虑,创业者是不是应该更有责任感一些?任何接受过正规 IT 类教育的人,都会在课程中被反复灌输:安全是最重要的设计要求之一,无论在任何情况下,用户信息的安全都是要重点考虑的内容。
显然对于 Instagram 的团队而言,用户信息安全并不是他们最开始关注的内容,甚至不在他们的优先级列表上。完全没有这个意识?当然不可能,只能说,商业上的需求和紧迫的竞争节奏让他们主动忽略了这样的问题,选择将头埋在沙子里,祈祷没人会发现这个漏洞。
但这个世界往往就是这样的,你越不想看到的事情,它就越可能发生。安全漏洞毫无悬念得被人发现,可即使在漏洞已经被发布的情况下,他们还是选择默不作声,即不告知用户,也不肯知会媒体,直到昨天,TechCrunch 发布了这个消息。有意思的事情发生了:
Instagram 的 CEO 在五个小时之前跳了出来,声称他们一直在努力解决这个问题,也已经把更新提交给 Apple 了。好吧,他们一直都知道漏洞存在,然后他们让这个使用难度极低的漏洞暴露在光天化日之下两周,什么也没有做。
Instagram,钱很重要,商业利益也很重要,所以责任感和用户信息安全这种东西,就完全可以忽略了吗?
创业公司的难处我可以理解,我也曾经因为资金、时间上的问题做过设计上的折中,也被迫放弃过一些短时间内难以实现的功能以期集中精力在最重要的东西上。然而无论我在大团队,还是在初创公司,甚至于自己单干,我从来没有在一件事情上妥协:安全。无论如何,用户的安全,是不可以打半点折扣的。这不是技术问题,也不是商业问题,这是最基本的原则问题,是晚上睡不睡得着觉的问题。
创业者们,不管有多么困难,请更有责任感一些!
更新一:根据广大人民群众的反馈,最新版 Instagram 修正了这个 Bug,本来就不是什么难以搞定的事,非要弄到全世界都知道才开始修复,这是个教训,设计的时候,原则性的东西省不得。
Follow @matrining,@matrining 转载请注明 ifanr 原文链接。