虽然一些常见的威胁,软件平台都可以尝试进行防御,但出现问题的直接原因却往往在用户的使用环节上。

Web 2.0的安全问题今

年一再地成为媒体焦点。此前是黑客窃取Facebook账户,发垃圾信息兜售假药; 现在则发现美国前总统比尔•克林顿、著名说唱歌手乔•巴登等人的私密Twitter消息均可通过Google搜索到; 甚至还有人注册了假账户全程跟踪发布私密消息。

在过去一年里,Facebook和Twitter出现的这些纰漏,在技术圈内掀起了不小波澜。人们开始怀疑,软件业是否有应对Web 2.0安全问题的能力。这种怀疑并非毫无道理,事实证明,解决安全问题仅仅靠软件开发商是远远不够的。

一方面,软件开发商通常都不是什么安全专家。即使某些企业中的开发人员接受过安全培训,也基本上是走马观花、学过即忘。企业和开发人员最看重的还是软件的功能特点,“是否支持密码登录”、“是否支持SSL”等等。除非栽过几次跟头、丢几次脸,否则谁也不会注意到安全性。

以Twitter为例,以前它想当然地认为自己的工程师可以解决所有问题,直到过去一年里该网站出现了“跨站脚本错误”等一连串的安全事故,才意识到这个问题有多严重。由于不想因安全问题而名誉扫地,他们已经从外面请了顾问寻找编码中的安全漏洞,也开始招聘全职人员负责产品的安全性。不过,我想Twitter现在只会像许多公司一样,发现高水平的网络安全人才是多么难找。

但另一方面,如果我们研究一下Twitter的使用情况就会发现,这些安全问题未见得都是软件平台本身的问题。例如,有人恶意侵入名人的Twitter账户,发表虚假帖子,或侵入Twitter员工的账户。虽然一些常见的威胁,软件平台都可以尝试进行防御,但出现问题的直接原因却往往在用户的使用环节上。

有些人把自己在所有网站的账户密码都设成同一个,其中很可能就有网站被黑客入侵。有些人则把密码设得非常简单,根本经不起黑客破解。还有人没能识破“钓鱼网站”,不小心把个人信息输入了虚假网页。Twitter对此很是担忧,因为它上面如Bit.ly和 Mr. Tweet这样诸多附加服务,都需要用户输入个人信息。Twitter的员工已经被要求选择安全性强的密码,而更应该做的是提醒它的用户们也这么做。

事实上,在大多数情况下个人信息被窃取的原因都是终端用户的错误行为,抑或他们没有采取应有的防护措施。安全性总是落后于创新的,AJAX技术和云计算应用模式,在一定程度上导致Web 2.0不可避免地存在安全漏洞。不过这些与用户自己埋下的那些潜在威胁比起来,就是小巫见大巫了。人们总是习惯轻信他人,这种轻信的弱点也最容易被人利用。如果用户们对此不加警惕,即使软件本身没有任何漏洞,安全问题依然会广泛存在。