中國軟件評測中心聯(lián)合北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點實驗室,近日發(fā)布了針對網(wǎng)站用戶口令處理的安全性測評報告。此次測評涉及電子商務(wù)、招聘類、婚戀類、博客類等9種類型共100家網(wǎng)站。
測評結(jié)果顯示,這100家網(wǎng)站中,僅有8家網(wǎng)站采取了充分的安全措施對用戶口令做處理;近六成網(wǎng)站未采取任何安全措施,使得用戶口令直接暴露在傳輸網(wǎng)絡(luò)以及服務(wù)器端,即網(wǎng)民所說的“裸奔”狀態(tài);更有85個網(wǎng)站直接拿到了用戶的口令原文。
近年來,隨著互聯(lián)網(wǎng)的發(fā)展,以電子商務(wù)、娛樂、購物、社交等為基礎(chǔ)的各類公共網(wǎng)站已經(jīng)融入到人們生活的各個角落。2011年年底的CSDN“泄密門”事件,大量用戶口令以明文形式被泄露,引發(fā)全社會對個人信息安全保護(hù)的高度重視。
“其實早在‘泄密門’事件之前,個人信息安全隱患問題就普遍存在。越來越多的人開始擔(dān)憂自己的隱私不能得以較好的保護(hù)。一方面,各種各樣的網(wǎng)站給人們的生活帶來了便利與精彩;另一方面,網(wǎng)站存儲著大量和用戶個人信息相關(guān)的應(yīng)用數(shù)據(jù),一旦泄露,就可能給用戶帶來經(jīng)濟(jì)、名譽(yù)等方面的損失。”中國軟件評測中心副主任高熾揚(yáng)說。
北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點實驗室高級工程師龔曉銳介紹,此次調(diào)研的結(jié)果再次表明,我國互聯(lián)網(wǎng)站口令處理不規(guī)范是普遍現(xiàn)象,民眾個人信息保護(hù)力度嚴(yán)重不足。“我國在網(wǎng)站用戶口令處理方面缺乏相關(guān)標(biāo)準(zhǔn)或規(guī)范。不同類型的網(wǎng)站安全意識存在顯著差異。”他說。
更讓龔曉銳擔(dān)憂的是,電子商務(wù)類網(wǎng)站本應(yīng)對計算機(jī)技術(shù)掌握最為專業(yè),由于直接涉及用戶商業(yè)利益,網(wǎng)站安全系數(shù)理應(yīng)更高。“然而,評測結(jié)果卻顯示,有部分網(wǎng)站未對用戶口令安全做任何處理,直接將其暴露在傳輸過程中以及服務(wù)器端。”他說,“這種做法是明顯侵犯用戶隱私權(quán)的。”
據(jù)悉,鑒于電子商務(wù)網(wǎng)站對安全的敏感性,本次測評特別聯(lián)系了目前國內(nèi)用戶量最大的電子商務(wù)網(wǎng)站——淘寶網(wǎng)開發(fā)團(tuán)隊參與調(diào)研。通過測評,該開發(fā)團(tuán)隊確認(rèn)了在用戶口令處理方面的缺陷,并表示已在新版本安全控件的開發(fā)中考慮到了這個問題,隨著新版本安全控件的發(fā)布,將會修復(fù)這個缺陷。
“對用戶口令采取較好的安全措施并不需要較大的成本,一般的工程人員一天就可以做到。”龔曉銳說。他認(rèn)為國內(nèi)大多數(shù)網(wǎng)站之所以沒有對用戶口令采取安全措施,是由于他們對用戶口令處理的安全意識不夠。
據(jù)了解,為了進(jìn)一步提升網(wǎng)站對用戶信息的保護(hù),加強(qiáng)個人信息的保護(hù)力度,中國軟件評測中心還將依照《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》國家標(biāo)準(zhǔn),向網(wǎng)站等相關(guān)企業(yè)提供《個人信息保護(hù)管理體系認(rèn)證》服務(wù)。高熾揚(yáng)表示,《個人信息保護(hù)管理體系認(rèn)證》將為相關(guān)企業(yè)帶來眾多方面的優(yōu)勢。“除了提高企業(yè)在公眾心目中的形象,更重要的是,預(yù)防個人信息安全事故。除此之外,管理體系還能強(qiáng)化員工的個人信息保護(hù)意識,規(guī)范企業(yè)行為。”他說,“企業(yè)需要從風(fēng)險評估、系統(tǒng)規(guī)劃、風(fēng)險管理和頒行推廣四個方面建設(shè)企業(yè)個人保護(hù)管理體系。”
推薦閱讀
工信部打擊終端惡意軟件:刷機(jī)市場成漏網(wǎng)之魚
Android平臺的開放性激發(fā)了第三方應(yīng)用市場的活力,但也同樣是因為開放性,安全性問題正成為影響Android陣營進(jìn)一步發(fā)展的“障礙”,同時也給用戶安全帶來了隱患。 日前,工信部出臺《關(guān)于加強(qiáng)移動智能終端進(jìn)網(wǎng)管理的通>>>詳細(xì)閱讀
本文標(biāo)題:調(diào)研顯示近六成網(wǎng)站用戶口令無保護(hù) 安全隱患大
地址:http://www.oumuer.cn/a/11/20120610/66571.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示