上海做网站的公司电话,各大搜索引擎网站提交入口,房屋经纪人网站端口怎么做,备案用的网站建设规划书怎么写2017年6月1日21:21分 某监狱里#xff0c;对话如下#xff1a; 犯人A:你们都是怎么来的#xff1f; 犯人B:我是XX漏洞平台挖漏洞不小心进来的。 犯人C:我是XX平台路人甲#xff0c;输错命令了rm -rf / #xff08;批量删除#xff09; 犯人D:我是某测评中心的忘了要授权了… 2017年6月1日21:21分 某监狱里对话如下 犯人A:你们都是怎么来的 犯人B:我是XX漏洞平台挖漏洞不小心进来的。 犯人C:我是XX平台路人甲输错命令了rm -rf / 批量删除 犯人D:我是某测评中心的忘了要授权了…… 犯人E:我。。。就是那个在群里成天陪你们吹牛逼斗图的HELLEN啊 犯人F:这下齐了到底谁黑的我网站我不打死你我是那个管理员站长。 …………………… 黑客技术哪家强中国监狱是天堂 ! 没错以上只是个段子。但是在6月1日那天这条段子在安全圈的微信群里传得很广因为那天《网络安全法》正式实施。 虽然安全圈里不少人都挺有自嘲精神的但这些自黑的段子明显也透露出几丝担忧像是一段对白 嘿老铁知道你没毛病也没有坏心思可好心办坏事的情况也不是没发生过。要是一不留神就犯了法进去了那就太冤了。多注意点吧 这种担忧并不是没依据的。提两个真事。 一个是去年闹得沸沸扬扬的“袁炜事件”。 2015年底乌云漏洞平台的白帽子袁炜提交了一个世纪佳缘的安全漏洞世纪佳缘确认并修补了这个漏洞同时在乌云网上对白帽子表示致谢。但事后他们统计发现有900多条有效数据被攻击者获取。 出于对信息安全的担忧世纪佳缘选择了报警。警方调查后才发现只有袁炜一个人涉嫌此案。最后袁炜被检察院公诉2016年4月被批准逮捕。 事件一出整个安全圈都炸开锅了。随之而来的是各方对于白帽子行为边界的深刻讨论。 第二件事就发生在最近不过没有上一个那么“刺激”。 6月1日 某知名互联网公司的安全应急响应中心以下简称“SRC” 发布了一篇公告指出其平台上有白帽子不遵守平台漏洞测试原则在未经他们授权的情况下擅自公开披露了一例漏洞细节。最后的结果是取消了该白帽子提交该漏洞的奖励。 公告一出也是众说纷纭。有人觉得专挑《网络安全法》实施当天发公告言辞还挺激烈这是示威啊也有人觉得这没毛病就得按照法律和规则来凡事讲道理嘛 当事人白帽子也在其博客里指出该SRC在发出公告之前曾经在没通知的情况下冻结了他账户下的所有漏洞奖励积分包括之前挖漏洞的奖励导致他无法兑换奖品。 虽然钱是小但是让人很不爽啊还发了公告 ▲ 图片来自当事人白帽子的博文 这两件事其实是企业和白帽子的矛盾关系在极端场景下的激活和爆发。什么矛盾呢“又爱又怕”的矛盾。 企业对白帽子是又爱又怕的。 他们爱白帽子因为后者能为帮他们发现不少安全漏洞有时还给出修复方案维护了他们的业务稳定但他们又怕白帽子“放荡不羁爱自由”懒得看法律条文和平台按自己的行事逻辑办事。也怕白帽子因为对法律的不了解做出一些有争议的事。还怕有黑产分子假借白帽子的名义伤了双方的感情还败坏了白帽子的名声。 白帽子对企业也是又爱又怕。 他们喜欢挖漏洞带来的回馈不仅包括物质上的礼物、奖金更有精神上的鼓励——自己的ID出现在感谢名单上的自豪、组队挖漏洞带来的好基友和技术讨论氛围同时他们也怕自己一不小心就背了锅对方发来感谢并逮捕了自己也怕自己的漏洞得不到认可。 好那有没有办法让这种微妙的关系达到某种平衡形成一种默契呢将“怕”的那一部分尽量降低减少大家的顾虑和畏惧呢 其实各家企业的SRC和漏洞平台都在努力寻找这个答案。最终他们选了一个还不错的解决方案规则。 于是他们推出“白帽子协议”。 6月1日那天超过19家企业的SRC组成了“SRC联盟”共同上线了“白帽子协议。 白帽子协议是什么按照我的理解白帽子协议是一个企业和白帽子之间的约定。 哪些事能干哪些不能干哪些需要提前打个招呼咱提前都先交代好签个协议点个“同意”双方达成一致觉得没问题了然后就可以继续开心地挖漏洞、刷榜和拿奖励了。 之后的相关情况都有限按照之前约定好的来这样大家都服气。没什么争执也不容易出问题。 ▲ 京东 JSRC 的白帽子协议页面截图 画外音擦这么多规矩条条框框不是让我们白帽子挖漏洞捆手捆脚了吗 还真不是。我做个类比 《网络安全法》制定之后一开始也有不少人担心觉得这会让安全从业者的活动空间越来越小捆手捆脚。可后来人们发现诶长远看来制定了规则明确了边界反而让人更能安心来做事知道底线和边界在哪反倒能在边界之内放开手脚去干不必畏首畏尾。 同样漏洞平台和企业SRC也为白帽子制定“白帽子协议”确定各自平台的规则和边界。这让白帽子也会心里有底知道自己的权利和义务可以在规则之下放开手脚而不会迷迷糊糊做事莫名其妙就出现了分歧和误会。 当然如果白帽子不同意某个平台的协议双方没有达成一致那就干脆不要开始这家不行就换别家挖嘛至少不会出现撕逼和误会。 提前交代好权利义务和利害关系对双方都是一种保护。 画外音 SRC 非要同意协议才让挖漏洞他们不怕这样弄得白帽子都“不敢”或者“不愿意”去帮他们挖漏洞了吗 我把这个问题问了此次”白帽子协议“主导者之一京东JSRC的老大李学庆他的回答原话是这样的 这个问题我之前考虑过也担忧过但是我觉得让白帽子知道条款中的内容比担心白帽子不来我们平台挖漏洞更重要。 我不希望白帽子由于不知道条款中的内容不知道网络安全法的严肃性而不小心给他们自己带来麻烦。 李学庆告诉雷锋网当他们把“白帽子协议”以及网络安全普法的想法告诉陌陌等其他 SRC 的运营团队时才发现大家原来都想到一块儿去了各家 SRC 大多都有类似的想法。 一拍即合最后居然有 19家 SRC 愿意一起做。此外还有其他SRC有类似的活动计划只是因为节奏不一致所以很遗憾地没能一起来做。 宅客发现前文提到的6月1日发公告“怼”了白帽子的那家SRC也在其中。好吧其实就是网易 SRC 不匿了 从宅客的角度来看这个问题无论是当事人白帽子在其博客公开把这件事的事前因后果说出来也好网易 SRC 公开发布声明也好。 与其私底下解决最后相互猜忌怀疑不如像他们这样大大方方把事情摆在明面上来说。虽然这可能给人留下强势的印象但至少能让其他白帽子知道他的原则和底线。 就像交朋友脾气冲但心直口快的人可能一开始给人留下“强势”、“装逼”、“暴脾气”的印象但这种人往往沟通交流更轻松直接不会藏着掖着。 网易SRC作出公开发公告这件事也是有压力的。一般来说大厂公关的标准流程通常是大事化小。但他们这次选择扮一次黑脸。选择当冲出到当那个心直口快敢把事情挑明了说的人。 或许他们知道这公告会让一些白帽子不太舒服甚至让自己平台的白帽子流失的。但也正如JSRC李学庆所说 我觉得让白帽子知道条款中的内容比担心白帽子不来我们平台挖漏洞更重要。 把事情摆在明面上说忍痛挖掉个脚底的烂疮虽然一时剧烈疼痛但也只有这样才能最终痊愈。而不是让它慢慢烂透。 JSRC 李学庆告诉雷锋网(公众号雷锋网)仅仅看京东的JSRC的数据上线白帽子协议一天后就有69个白帽子阅读并同意了协议到第三天的时候已经有超过100个白帽子阅读并同意了协议。 显然越来越多的白帽子也意识到规范起来大家把事情讲明也并非什么坏事。说出来总比不说要好。 和 JSRC 的李学庆交谈的最后他告诉雷锋网 我一直认为安全响应中心的初衷是为了企业与安全从业者共同打造一个良性的安全生态。 所以我更希望所有的安全响应中心能够拿出更真诚的态度联合所有的资源为白帽子做些实事。当然我也更加希望白帽子兄弟们能够不忘初衷用自己的正道能力帮助企业弥补安全的不足。我坚信未来的中国安全将是领先的健康的受世界尊敬的。 也希望未来SRC和白帽子的关系能真的如此。 本文转自d1net转载
