原文:http://www.0×000000.com/?i=526
看到這篇文章時,還蠻有同感的,先前幫某資安雜誌撰寫的另一篇文章中,也曾經質疑過另一個安全認證」HiTrust Secure Site」,我認為該信賴標章僅能夠證明連線是經過加密的,不能代表該網站是安全的!!而且在該文章內也質疑過某具有該信賴標章的某資安網 站具有明顯的XSS與SQL-injection問題,但提報給對方後,得到的回應卻是,他們檢測後認為自己並沒有安全性問題~(真想知道他們的檢測方 式…XD)
至於Hacker Safe,也只是證明網站沒有已知的系統安全漏洞,對於網頁程式的安全,也無法作有效的檢測,難怪會被戲稱是保障駭客安全出入的標章!
已經不只一次的實例證明, 這類的信賴標章其實不能有效地保證網站安全,偏偏許多網站與系統管理者,仍將這類標章奉為圭臬,遇到安全性遭到質疑時,還搬出這些安全信賴標章出來推搪, 真的讓人有點啼笑皆非!其實遇到別人公開或私底下的質疑時,應該把他想成是件好事,至少有人協助我們發現了安全性問題,讓我們有機會能夠作修正,而不是將 良善的建議視為洪水猛獸或是找碴,這樣反而延誤了問題修正的時機!(又想起了某五個被植入後門一年以上的網站,現在居然還活著…@@~)
資料來源 itinternals.com/archives/2008/03/09/634
全站熱搜
留言列表
