關於受害廠商的質疑
2008 年 04 月 22 日 – 15:12:04從公佈網站被植入惡意連結開始,就曾經不斷有廠商要求本站拿到他們公司的被入侵的事實,但都被我斷然拒絕,昨天有醫家廠商寫信給我,要求我拿到他們公司受害的資訊,我只告訴他們,盡快修復網站,然侯,我可以加註「已修復」或其他字眼,但這家廠商不但沒有修復自己網站的漏洞,反而,態度很不好的質問我,我有權力這麼做嗎?以下是電子郵件內容(請不要問我是哪家廠商):
請問你是政府機構的相關單位嗎?還是有什麼授權可以讓貴公司張貼其他公司的名字?
再者,你有通知我們有這個漏洞嗎?張貼在貴公司的網站上,而不通知該公司,請問是什麼意思。
請考慮清楚你所做的事,是否對其他公司是否會造成傷害,藉由檢討別人提昇自己,我不認同。
也請你把我們公司的名字移除,謝謝!
第一,從公佈這些訊息以來,剛開始幾個月,我很熱心,打電話或寫電子郵件通知這些受害廠商,有時候,廠商的回應是,我們沒辦法,但幾乎都是得不到正面回應或無回應。也有些時候,有的廠商與我談利益條件,要我移除他們的資訊,都被我拒絕(除非我寫錯了)。
第二,在這裡公布受害廠商的資訊,也許對廠商造成傷害,但你們有沒有想過瀏覽你們網站的使用者嗎?他們受害,誰負責呢?
第三,的確,剛開始曾經想透過公布這樣的訊息,來增加知名度,但現在沒有這種想法。
第四,在這裡公布受害廠商資訊,我並沒有因為這樣而賺到更多錢,反而,更慘,倒是哪些資安廠商受禍得福,賣更多的方案給這些受害廠商。
第五,賺錢有道,不該賺的錢,我們是不會賺的。
第六,如果政府多做一些事情,如訂定資安法規,我們就可以少做很多事情。
…
“關於受害廠商的質疑” 目前有 17 迴響
看這份資料就知道有多誇張。
http://www.itis.tw/compromised
By carloschen on 2008 年 04 月 22 日 - 17:27:17
翻了一下最近Roger大大分析的案例與出處,該單位要不要也寫信去罵一下資安之眼、Google、Zone-H跟Xssed阿…XDDD
自己網站有洞就該檢討,你們的商譽是權益,難道廣大網路使用者的安全就不是權益?還理直氣壯勒…XDD
By Roamer on 2008 年 04 月 22 日 - 18:08:20
1.會如此發函的一定不是資訊人員,而且極可能只是一個不知啥單位的小主管而己,看其文字的拚湊即可略知其只在於應付所屬公司的一種邀功而己…..
2.企業商譽固其重要,但對廣大民眾更要有商譽之後的服務之心,這款忝不知恥的公司產品,也大可明白該公司的營運之道
3.這種還仗勢著資安法規拿它沒輒的廠家其實也只有』爆到最高點』才能一棒敲醒這種觀念的廠家,才能抑止更多瀏覽者受害才是
By 天罣 on 2008 年 04 月 22 日 - 20:38:03
該不會是怕…丟了職位才打出那些言語吧!
駝鳥心態!實在可議…(確實有檢查出沒問題再來做回應吧?!)
如果該單位的公司主管可以認同那些反駁 那我真的無話可說!
反觀某些網站 如果在google網站敲下去 出現某某網站可能會出現危害電腦之警告字語的 那真不知該如何解釋哦?
By disoniner on 2008 年 04 月 22 日 - 23:29:36
第三,的確,剛開始曾經想透過公布這樣的訊息,來增加知名度。
出發點是如此啊…………
況且公佈的許多案例都是造出來的,
廣大的網友根本不會受害………..
By stanley on 2008 年 04 月 22 日 - 23:31:06
既然很多網站都不注重資安,也沒能力,
還是教導網友們如何保護自己。
By leo on 2008 年 04 月 22 日 - 23:36:38
農家子弟出生的鄭弘儀說:「小時候真是苦的一塌糊塗,種田是唯一記憶,經常半夜連覺都沒得睡!」也正是因為這樣「苦」的環境,讓他培養出在工作上過人的毅力和耐力,以及不怕接受挑戰的精神,使他專注本業,不斷學習成長,所以他說:「投資自己,總有一天會出頭!」
截錄自 http://www.books.com.tw/exep/prod/booksfile.php?item=0010233254
By martin on 2008 年 04 月 22 日 - 23:45:27
換個角度想,人也是從生病中,一直增加自己身體的扺抗力。
不要怕被駭,重要的是從被駭中,找到更好的方式改善。這個世界就是這樣,正邪本來就不斷的在戰爭中。有時正的一方勝出,有時換邪的一方嬴,但終究邪不勝正。大家還是把心力花在研究更好的資安吧。
By mary on 2008 年 04 月 22 日 - 23:59:18
樓上stanley可否清楚說明你要說的….我怎麼看不懂你講的?
何謂』況且公佈的許多案例都是造出來的,廣大的網友根本不會受害…』?
你認為大砲有需要去毀謗某些網站嗎?
By 天罣 on 2008 年 04 月 23 日 - 00:35:45
所以,防毒或防木馬軟體廠商也不能警告使用者某個網站有病毒或被植入木馬囉?因為會影響擁有該網站的企業的名譽?
還真是ORZ…
By 小工程師 on 2008 年 04 月 23 日 - 11:31:49
平常心看待就好了,哪個人不生病的,
各企業不要那麼緊張。
RogerC也說了 資訊安全沒法百分百的,
重要的是有人告訴我們有問題了,
就去解決就好了。
生病就去看醫生吃藥或手術,
生病並不可恥啊。
By 平常心 on 2008 年 04 月 23 日 - 12:10:38
有關disoniner大大所提的google搜尋後所出現的警告訊息,其實有些公司在發現問題後就已修復,只是在google裡仍舊出現這樣的警訊;這發生在我朋友的公司是一例,我僅能跟朋友說一句話:不要介意google出現的警訊,那是在提醒你更應對想要看你網站的瀏覽者一種責任態度也是一種教育..
因此;也有更多的網站仍有惡意程式未被揭櫫於任何的一個網站包含google…所以大砲的砲口可不能』垂下來』或收起來
By 天罣 on 2008 年 04 月 23 日 - 21:33:20
資安原本就是個充滿挑戰的工作,輸了,充電後再上戰場!只會哭泣有什麼用?
By kim on 2008 年 04 月 24 日 - 13:40:50
確實我也常被罵呀,特別是在這些機關排除問題之後,這讓我覺得有點像是要求報社把三天前報紙上的某新聞取消 ….
Roger兄請保持您的風格,加油!
By blue on 2008 年 04 月 24 日 - 14:49:25
王建民不滿兩局狂失八分,2008年季後賽防禦率19.06(平均每局掉兩分以上)…這些都是超難堪的紀錄,王牌永遠的痛,但王建民永遠說:我會一球一球丟,一個一個的去解決打者。勇敢的面對。
如果資安只想靠橡皮擦跟立可白,套句何瑞修(CSI)的名言:這些紀錄只是你最小的問題。
By Crane on 2008 年 04 月 24 日 - 23:38:45
抱歉…是』2007年季後賽防禦率19.06″,特此更正。^_^
如果王建民不努力,我們是不會一直支持他的。加油!!
小郭小曹小胡…還有我們大家都要加油!!
By Crane on 2008 年 04 月 24 日 - 23:49:32
純推Crane兩次留言的最後一句…XD
By Roamer on 2008 年 04 月 25 日 - 17:10:41