關于白帽子提交漏洞被抓，實名制風波，圈內人這么看 | 宅客周刊

1.白帽子提交漏洞被抓，圈内人这么看

近日，白帽子实习生袁炜因在乌云上提交世纪佳缘网的漏洞而被抓，引起了圈内的热议。行业两派的争议不断，互相鄙视，程度远远超过了当年Windows阵营对Mac阵营。

“白帽子”派（我们姑且这么叫）是说厂商太无耻，我们好心给你们提漏洞，你们居然敢这么对我们，你们要像其他厂商学习，人家不只快速修复，还有奖励；“亲厂商”派说你们明确触犯了刑法，未得到授权，泄露了信息，把一个单纯的技术漏洞硬是利用到了公关层面，公开数据公开细节，对企业造成了极大的负面影响。

白帽汇创始人赵武认为，出现此类情况主要有两种可能性：

一是白帽子沟通过程中表达不当（白帽子太不擅长跟厂商打交道了，同学们啊）激怒了厂商；

二是厂商那边有个“主战派”，他们不一定懂技术，但是一定是公司相关权利部门，比如法务部／公关部之类的，当然，最怕的是老板，最怕的是老板，最怕的是老板。一个暴燥如雷的老板会直接推动事情的进展。他们会喊出“犯我领土者，虽远必诛”的口号。强权确实在某些方面是有效的，至少气势上威慑住你。

被尊称为国内黑客教父的TK也认为每一朵乌云都有一道金边，每一顶白帽都有一道黑边。希望“白帽子”能学习一些法律，保护好自己；希望企业能想明白道理，知道自己真正的敌人是谁。

2.****

康奈尔、MIT和Dropbox的研究人员在最近的IEEE安全隐私研讨会上发表论文，文章指出在不危及安全的情况下自动更正密码能显著增强可用性，主要是为了避免密码多种字符组成造成遗忘的麻烦。然而，宅客担心的是，自动更正密码就意味着陌生人也有可能登录你的账号，那么，该如何平衡效率与安全？

其实，网站只是启用了打字错误纠正(typocorrection)功能，除了大写锁定造成的大小写反转(Password->pASSWORD)外，还可以处理首字母大小写错误(Password-> password)和尾部多余字符(Password->Password`)问题，这种机制极大地增加了合法用户登陆的成功率，网站的可用性（usability）大有改善。

然而，大部分的现实应用都存在安全性与可用性之间的权衡，两者此消彼长。因此，在可用性提高的同时，随之而来的安全风险有哪些，我们的账号被陌生人登入的可能性有多大，这些问题都值得关注。

康奈尔大学的研究人员在发表于2016年学术界顶级安全研究会议S&P上，对这些问题给予了解答。

3. 白帽汇赵武：我们来聊一聊实名制

国家网信办今天发布了《移动互联网应用程序信息服务管理规定》，定于8月1日开始实施。本意是解决“少数应用程序被不法分子利用，传播暴力恐怖、淫秽色情及谣言等违法违规信息，有的还存在窃取隐私、恶意扣费、诱骗欺诈等损害用户合法权益的行为，社会反映强烈”的问题。

之前在很多次的采访中，记者都会让我提建议，如何解决现有互联网的网民安全问题。我的答案其实很无奈，没有办法根本上解决问题，只能通过类似注册马甲的方式减缓危害。去年我写了《糊涂比清醒更幸福》大意就是表述了这种无奈感。信息泄露问题无处不在，快递，送餐，电商，教育，买车买房贷款等等。

你生活的各个方面都有可能被泄露了信息，所以，一些资深的安全技术人员在万不得已的情况下，不会用真实身份注册，跟财产相关的操作在隔离网络运行。另外一般都会选择对应不上真实身份的方法让自己淹没在大量泄漏的数据当中，因为针对性的攻击危害远比泛泛的攻击危害大得多，所以这种伪装无法不让信息泄漏，而是即使泄漏了你也不知道是我。

4.X86 CPU到底存在哪些安全风险？

从海湾战争中萨达姆的防空系统突然瘫痪，到2007年以色列轰炸叙利亚东北部的一处潜在核设施时，叙利亚预警雷达因通用处理器后门而失效，再到2012年伊朗布什尔核电站在信息系统物理隔绝的情况下遭到震网病毒的攻击....

残酷的现实向世人阐释了只要存在国家和利益斗争，给CPU留后门的行为就永远存在。

不久前，自由软件基金会（FSF）指出，所有现代Intel处理器平台都内置了一个低功耗的子系统IntelManagementEngine，IntelManagementEngine能完全访问和控制PC，能启动和关闭电脑，读取打开的文件，检查所有运行的程序，跟踪按键和鼠标移动，甚至能捕捉屏幕截图，它还有一个被证明不安全的网络接口，允许攻击者植入rootkit程序控制和入侵电脑。

FSF称，IntelManagementEngine威胁着用户的隐私和安全，而开发替代的自由固件是一项不可能任务，因此唯一的做法是抛弃Intel平台。

据业内人士分析，由于很多底层功能不开放，导致Intel掌握着用户的命门，虽然Intel未必会随意黑用户，但确实拥有黑掉用户的能力。其实，除自由软件基金会曝光度IntelManagementEngine之外，各种硬件木马，甚至是X86指令集本身也存在安全风险。

5.Swagger被曝高危漏洞，影响Html、PHP、Java和 Ruby等开发应用

Swagger是一个规范且完整的框架，提供描述、生产、消费和可视化RESTfulWebService，今年年初被重命名为OpenAPI。Swagger规格被广泛的使用在Html、PHP、Java和Ruby等流行语言开发的应用中，其最近被曝出远程代码执行漏洞，潜在影响到了Java、PHP、NodeJS和 Ruby等流行语言开发的应用。

据了解，这个漏洞的CVE编号为CVE-2016-5641。该漏洞属于参数注入漏洞，能够在SwaggerJSON文件中嵌入恶意代码。凡是使用SwaggerAPI的应用程序都会受到影响。但Rapid7社区的安全研究人员目前公开了该漏洞的技术细节和修补方案。