• 生活经历的意义,是为了引导你,而非定义你。

  • 外卖,购物,看电影,打车都可以领劵

  • 人生在世最重要的是独立支撑,在物质上独立支撑,在精神上也要独立支撑。在物质上依赖他人就无法自由呼吸,在精神上依赖他人就无法随心所欲。

  • 进了好大学也好,进了好公司也好,如果有活到老学到老的想法,那就有无限的可能性。失去好奇心的那一瞬间,人就死了。读书,不是为了考试,而是为了成为出色的大人。

  • 我常常想,人类得到切割时间的能力,确实堪称是最伟大的发明之一。因为只有这样,大家才不会混混噩噩一顿水地过下去。人,有了停顿的概念,才会有反省的机会。

  • 所有的改变都是一种深思熟虑过后的奇迹, 每瞬间奇迹都在发生。

  • 雨天听雨,调动五感,全身投入,感受那一瞬间。雪天赏雪,夏天感受暑热,冬天体悟刺骨的寒冷。日日是好日,原来是这个意思。

  • 受挫的时候,想到等待着自己的人,和信任自己的人,就绝不能迷失自己。我要一点一点重新来过,慢一些也没关系。我要重新开始。

  • 今天在松松博客的博文发表成功了 :mrgreen:  博文地址

程序员们注意了,查看网页HTML源代码违法,就属于“黑客”行为?

随笔 James 1个月前 (11-01) 27次浏览 已收录 0个评论 扫描二维码
美国密苏里州近期发生了一起引发巨大讨论的“安全漏洞”事件。
根据 Ars Technica 的报道,《圣路易斯邮报》的一名记者在使用由密苏里州中小学教育部 (DESE) 维护的网站查询教育工作者的资格证时,发现了一个会暴露教师和其他学校员工社会安全号码 (SSN) 的安全漏洞。
这里所谓的安全漏洞其实就是记者通过使用浏览器自带的「查看源代码」、「查看页面源代码」此类功能,发现教师的社会安全号码直接暴露在 HTML 源代码中(后文会提到这些信息经过了 base64 转码,但没被加密)。
记者发现漏洞后,随即向维护该网站的政府教育部门进行报告。同时,记者所属报社也做出承诺,在修复漏洞期间不会发布任何相关信息。
然而政府接下来的操作却让人匪夷所思。他们先是关闭了网站的访问权限,接着召开新闻发布会,并表示准备起诉发现漏洞的记者。州长在发布会上直言报社“企图让国家难堪并为新闻头条不择手段”。他还说道,“政府不会成为新闻媒体的棋子。政府会通过法律制裁任何一个入侵我们系统的人,追究所有帮助这个人的其他人和雇用他们的媒体公司的责任。”
程序员们注意了,查看网页HTML源代码违法,就属于“黑客”行为?
由于在此期间,网络安全教授 Shaji Khan 帮助记者验证了漏洞的存在,所以他后面也遭受到了政府的无端调查和指控。
Shaji Khan 做了这样的操作:
  • 访问任何人都可以访问且无需登录的公共网站
  • 查看公开的源代码(任何人都可以使用「查看」菜单选项在任何网页上轻松完成)
  • 识别被称为”View State”的可疑源代码片段,其中可能包含此次事件中的所谓安全漏洞
  • 将已被转码的信息转换成可读的纯文本,这也是任何人都可以完成的操作
Shaji Khan 指出,任何人都可以在短短几分钟内完成整个过程。没有任何数据被加密,也不需要密码,密苏里州没有采取任何措施来保护该州自动发送给每个网站访问者的教师社会安全号码。
对于州政府新闻稿中声称一名“黑客”访问了教师社会安全号码的说法,Shaji Khan 指出这种描述是错误的,因为实际情况是“密苏里州自动将教师社会安全号码传输给每个网站访问者。发现并报告此安全漏洞的人没有试图未经授权访问或‘入侵’网站”。
此外 Shaji Khan 还指出,州政府违反了“禁止公开披露公民身份证号码”的法律,且未遵循“告知数据泄露受害者事件相关准确信息”的另一项法律规定。
程序员们注意了,查看网页HTML源代码违法,就属于“黑客”行为?
                                                                                                                                                            ▲ Shaji Khan 教授
Shaji Khan 聘请了一名律师为自己辩护,反对政府的指控。他要求州政府保留与此事件有关的所有记录,作为诉讼保留的一部分,停止“对 Shaji Khan 教授进行毫无根据的调查”,并“补偿他为自己免受各方毫无根据的指控辩护而产生的合理律师费,以及因为各方给他造成的巨大压力和干扰”。
到目前为止,Shaji Khan 教授向政府提出的终止调查指控以及索要赔偿和道歉要求并未得到回应。Shaji Khan 表示,如果诉求得不到满足,他将会考虑起诉政府,探索各种途径在法庭上解决不当行为。

老余博客, 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:程序员们注意了,查看网页HTML源代码违法,就属于“黑客”行为?
喜欢 (3)
[老余博客]
分享 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址