金融

360提示部分互联网站尽快修复登录漏洞

2019-05-15 01:29:36来源:励志吧0次阅读

1月5日,360安全中心发布安全警报称,目前有少许互联站存在登录漏洞,会导致其用户的帐号和密码在登录站时泄漏在址中,存在一定安全风险。360安全专家石晓虹博士表示,这些站的登录漏洞是因为采取了Http Get的方式在用户登录时进行身份验证,只要关闭这项登录方式,改用安全性更高的Http Post方式,就能修复站的登录漏洞。

石晓虹博士打了个比方说:站存在登录漏洞,就相当于一个人把银行卡号、密码以及开户银行都记在一张纸条上。这是一种极不合理的保密方式,如果整张纸条丢了,就会使自己的财产面临失窃的危险。不过经360安全中心验证,目前存在登录漏洞的站数量其实不多,主要是一些安全机制不严格的站,其实不触及上银行、上支付、游等重要帐号。

有友评论认为,此前金山毒霸和360就是不是泄漏用户隐私爆发口水战,就是个别站的登录漏洞惹了祸。对此石晓虹博士解释道:为了找到木马攻击源头,360和其他国内外安全厂商普遍采用了挂马页触发可疑址上传机制,即在用户受到挂马页攻击时,会把当前所有未关闭页的URL址上传到日志服务器上进行验证,以便把其加入歹意址库。如果此时用户恰好访问了存在登录漏洞的站,就有可能把泄露了用户名和密码的址一并上传,造成安全隐患。

石晓虹博士进一步表示:360并没有泄露用户隐私,只是云安全、云计算这项全新的技术体系有可能把个别登录漏洞站泄露的用户隐私采集。如果想从根本上杜绝这个情况,不但安全厂商应当注意妥善处理用户信息,互联站也需要积极修复漏洞。

据介绍,360安全中心已率先针对站登录漏洞采取了应对措施:当用户访问存在登录漏洞的站时,即便遇到未知挂马页攻击,360盾也不再进行样本上传;此外,360盾未来还将发布一项可以检测站登录漏洞的功能,当用户打开此类站后时间进行安全提示,限度地保护好用户隐私。

青春期经间期出血吃什么药
痛经的日常保养
如何调整经间期出血
分享到: