财新传媒
位置:博客 > 刘兴亮 > “开放平台”更加考验微博安全性

“开放平台”更加考验微博安全性

据经济之声《央广财经观察》报道,6月28日晚间,新浪微博发生大面积中毒事件,病毒主要的攻击对象是官方微博和名人微博。微博营销在方兴未艾的时候突然遭遇病毒,打了一个打喷嚏,瞬间引来极高的关注度。经济之声特约观察员、互联网专家刘兴亮认为,微博营销的特性决定了它必须在开放的平台下进行,这就更加考验网站维护安全的能力。
 
主持人:很多人都把新浪微博的这次中毒归结为新浪的技术漏洞,主要是由于多点登录这个模式非常不安全,只要有用户名和密码,同一个用户是可以在不同的机器终端上登录,您觉得这是导致这次新浪微博中毒的主要原因吗?
 
刘兴亮:新浪微博的“中毒”事件不应该叫中毒,它是受到了恶意代码的攻击,还不是一种病毒,主要利用了新浪微博系统的一个XSS漏洞。这个漏洞被插入了一些恶意脚本,通过这样的漏洞来控制、攻击微博,多点登录只是表面原因。世界各大知名网站也都被黑客攻击过。
 
主持人:事发之后新浪暂时平复了风波,但也说不能完全保证类似的事件不再发生。现在很多山寨的微博网站,私自把新浪微博用户作为自己的用户。用户在新浪微博发什么,山寨网站上也会有相应的内容显示。由此可见新浪微博的安全性之差,是不是新浪对于维护安全采取的维护措施不太到位?
 
刘兴亮:上面提到的现象是新浪微博和第三方的合作,在第三方网站上和新浪微博同步更新信息。开放是互联网的一大的趋势,但是开放也会带来很多后果,安全就是其中之一。这次黑客可能就是利用了第三方开放的API接口,新浪还是做了很多安全防范的措施,但黑客防不胜防。
 
对于新浪这些大的平台来说,要加强平时的防范。以微软的windows操作系统为例,微软定期会发现自己的系统存在一些漏洞,它就会发布一些补丁让用户升级。但新浪和这个机制还不太一样,所以说它应该积极主动去发现更多的漏洞,然后把它补上。
 
主持人:有人形容这次的新浪微博遭到恶意的攻击只是一场技术上的感冒,还没有严重到无药可治,但是我还看到了这样的一种观点,说其实新浪还是因为经济利益的驱使所以无法改变这样的一种核心的技术漏洞,最典型的除了刚才我们说的一些方面之外,我们还是要提这个多点登录,因为有一些企业可以直接通过明星微博来散播植入式的广告,这就能给明星带来少则几十万的经济利益,那么您觉得这样一个漏洞的出现是不是在某种程度上说也跟经济利益有着不可分割的关系呢?
 
刘兴亮:这个不可否认,新浪是一个商业公司,它为了考虑自己的经济利益,包括我们刚才提到的第三方开放平台,接入第三方也是为了共同营造一个微博生态体系,包括多点登录,其实这个也是新浪不得不做的。不管是系统、软件,还是工具,首先要做的安全措施,可以像银行的网银一样,但是安全系数虽然高了,但用户使用不方便,用户需要多点登录,网站就不能有更多的限制,经济利益的驱使,迎合受众,基本还是网站需要考虑的。
 
主持人:这阵子炒得火热的郭美美事件是内容安全监管暴露出的软肋,昨天的中毒事件又暴露出技术安全的监管也很重要,您觉得今后我们应该如何来维护这样的一种环境下的运行安全呢?
 
刘兴亮:首先,目前所有社交平台的姿态都非常开放,面向所有人,随时随地不加任何限制,把大家的社交成本降到最低。这样的话一定是有利必有弊,它的各种安全也比我们以前所有的这些服务隐患高了很多,所以技术安全和内容安全我们都应该做到更多的防范。我刚才说的是技术安全,内容安全也应该去做到更多的防范,因为现在微博已经成为主流趋势,有人说它已经把控了舆论传播的“制高点“,它应该受到我们更多的重视。
 
原文链接
 
 



推荐 14