谷歌Project Zero安全团队成员Tavis Ormandy最近在LastPass密码管理器中又发现了一个新问题。
LastPass上周末正忙着修复Ormandy发现的多个问题,而现在证实了这个新问题,并表示“这种攻击具有唯一性且非常复杂,目前我们还不想披露关于这个漏洞或者修复方案的任何信息,以免被恶意人员盯上。工作完成后会给大家一个更加详细的事后说明……我们想表达对像Tavis一样帮助我们解决LastPass安全漏洞问题的人,并希望他们跟团队一起让LastPass变得更加安全”。
Ormandy发现这么多问题后,有用户对他的行为表现出不耐烦。有些用户似乎更愿意相信“无知是福”。很多人看来并没有理解负责任披露信息的规则。研究人员有权公开说明某段代码中存在缺陷,只要他们没有在补丁发布之前确切地说明这个缺陷是什么或者如何利用它即可。
有些人建议研究人员不要说明存在缺陷。但这么做会适得其反,因为厂商会失去修复代码的动力。企业这么做可能没问题,但会给用户带来风险。正因如此,谷歌等公司才会设立90天披露的原则:背后的理念就是如果有公司不在这个时间段处理问题的话,那么他们确实没有做出任何行动,尽管几乎每个研究人员都会为厂商延长必要的时间。但有些人似乎已经忘记了这些东西。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。