当前位置：首页 -> 网络安全 -> 防范措施 -> 评论：为何不完全公开安全漏洞？

评论：为何不完全公开安全漏洞？

时间： 2021-07-31 作者：daque

从那种水平说，软硬件中创造安定缺点是不行制止的。题目在乎创造缺点后采用的办法。最要害的是以受其感化的一切用每户平均可领会的情势颁布缺点消息和补丁步调。既是没辙供给实足不生存缺点的产物，那么消息公然即是供给商必需实行的一项负担。但软硬件开拓商好象并不这么想。纵然与往日比拟发觉有所革新，但仍有不少开拓商创造缺点后并没有主动地给予颁布。并且即使开拓出了矫正缺点的补丁步调或废除了缺点的订正本子也是“悄悄地”颁布。也即是说，纵然拟订了安置补丁步调和本子晋级等对策，但并不实足颁布安定消息。大概这种动作主假如出于即使颁布创造了安定缺点，会有损于企业及产物局面的商量，然而即使蓄意隐蔽的话，相反不只会真的破坏企业局面，以至会把要害存户置于伤害地步。对于这一点，以至连供给搜集安定产物和效劳的开拓商都看法不及。安定效劳中生存安定缺点 6月尾，在阿曼驰名搜集安定产物开拓商——赛门铁克和趋向高科技各自供给的免费安定检验和测定效劳中创造了缺点。在运用效劳时所载入的active x控件中生存缺点。即使是只运用过一次效劳的用户，即使考察了某些做了动作的web页面，也有大概在呆板上运转嵌入到网页中的歹意步调（宏病毒等），属于一种特殊重要的缺点。创造者是一位公司外部职员。收到创造者的汇报后，两公司均颁布了相关缺点的消息和矫正缺点的active x控件。只有安置新控件掩盖生存安定缺点的旧控件，即可堵住缺点。工作发达到这一步办法纵然无可指责。题目在乎消息公然的本领。直到7月17日，两公司仍均未在公司首页安置关系缺点的消息链接。用户只能由展示了题目的效劳页面或“深档次”的页面举行考察。历来没有以通信稿和消息的情势给予公然。筹备运用此效劳的用户基础上都要考察有题目的效劳页面（而一旦考察此页面就会机动运用此效劳，即实行宏病毒扫描）。如前所述，取消缺点的本领即是再次运用效劳。即使只是只向那些觉得充耳不闻也不妨取消缺点的用户传递说生存缺点，功效也会很差。只有不在更醒手段页面中奉告用户，就没有任何意旨。笔者也是经过邮件列表中的投稿才领会两公司效劳中的缺点的。对于赛门铁克复务中的缺点，因为是创造后不久就立即领会了这一情景，所以其时曾特意通讯过。然而，不经意地领会到阿曼趋向高科技效劳中的缺点则是两个礼拜此后的事。在两公司效劳中创造缺点的是同一部分，笔者是在此人发送的邮件中领会缺点的，此人在邮件中愤恨地表白：“美利坚合众国趋向高科技供给的‘housecall’效劳中生存缺点，但该公司却未立即所有地举行传递”。 housecall效劳即是阿曼趋向高科技所说的“宏病毒空包弹在线扫描（virus buster on-line scan）”。考察该效劳页面不妨找到7月2日颁布的安定消息。此次创造缺点的均为免费效劳，两公司均传播“此效劳不属于本领扶助东西之列”。虽说如许，也不许不大略易懂地颁布消息吧。从来是要运用用来普及安定性的效劳，却没想到弄了一个缺点回顾，这简直不许算是什么风趣。即使从此刻发端也为时不晚，蓄意此后能充溢地颁布消息。颁布安定缺点是为了用户便宜正文中固然说的是赛门铁克和趋向高科技，但其余开拓商也同样如许。只然而是两公司的效劳中迩来创造了安定缺点才提到了它们。而少许极不负负担的开拓商创造缺点后以至消息仍旧传播到邮件列表等媒介上此后仍会佯装不只。不只不颁布消息，以至连补丁步调和矫正本子都不供给。那么，大略易懂地颁布缺点消息和不举行颁布，哪种作法对用户利于呢？展示歹意运用缺点的报复时，假设仍旧公然了矫正本子，那么预先倡导理想用户晋级到矫正本子的供给商，和辩白说“固然没有颁布消息，但只有晋级到了最新版就不会遭到报复，所以不会有题目。固然没有倡导用户晋级，然而简直一切的用户都该当仍旧晋级到了最新版”的供给商，对于用户来说哪一方犯得着断定呢？ “颁布缺点，就等所以‘叫醒酣睡中的儿童（让她们徒生担忧）’”等老生常谈基础讲不通。假设要举行报复，在邮件列表中就可获得关系消息。开拓商颁布不颁布消息并没有什么联系。并且也并不是诉求供给商“没有对策也要颁布！”，大概“把简直的报复本领颁布出来！”。而只有大略易懂地传递用户“题目是什么，有大概遭到什么感化，最佳采用什么对策”，就充满了。虽是滥调重弹，但有的软硬件开拓商真实对笔者说过“即使对外颁布说有缺点，那么普遍用户就会爆发不需要的担忧。因为她们并不领会缺点，所以最佳是不报告她们”。但笔者觉得，不充溢颁布缺点的开拓商一致得不到用户的断定。（根源：日经bp社）

评论：为何不完全公开安全漏洞？

相关推荐

推荐下载

热门阅览

最新排行