密苏里州|密苏里州政府认为查看网页 HTML 源代码违法,属于“黑客”行为
文章图片
出品|开源中国
作者|局长
美国密苏里州近期发生了一起引发巨大讨论的“安全漏洞”事件 。
, 《圣路易斯邮报》的一名记者在使用由密苏里州中小学教育部 (DESE) 维护的网站查询教育工作者的资格证时 , 发现了一个会暴露教师和其他学校员工社会安全号码 (SSN) 的安全漏洞 。
这里所谓的安全漏洞其实就是记者通过使用浏览器自带的「查看源代码」、「查看页面源代码」此类功能 , 发现教师的社会安全号码直接暴露在 HTML 源代码中(后文会提到这些信息经过了 base64 转码 , 但没被加密) 。
记者发现漏洞后 , 随即向维护该网站的政府教育部门进行报告 。 同时 , 记者所属报社也做出承诺 , 在修复漏洞期间不会发布任何相关信息 。
然而政府接下来的操作却让人匪夷所思 。 他们先是关闭了网站的访问权限 , 接着召开新闻发布会 , 并表示准备起诉发现漏洞的记者 。 州长在发布会上报社“企图让国家难堪并为新闻头条不择手段” 。 他还说道 , “政府不会成为新闻媒体的棋子 。 政府会通过法律制裁任何一个入侵我们系统的人 , 追究所有帮助这个人的其他人和雇用他们的媒体公司的责任 。 ”
由于在此期间 , 网络安全教授 Shaji Khan 帮助记者验证了漏洞的存在 , 所以他后面也遭受到了政府的无端调查和指控 。
Shaji Khan 做了这样的操作:
- 访问任何人都可以访问且无需登录的公共网站
- 查看公开的源代码(任何人都可以使用「查看」菜单选项在任何网页上轻松完成)
- 识别被称为\"View State\"的可疑源代码片段 , 其中可能包含此次事件中的所谓安全漏洞
- 将已被转码的信息转换成可读的纯文本 , 这也是任何人都可以完成的操作
对于州政府新闻稿中声称一名“黑客”访问了教师社会安全号码的说法 , Shaji Khan 指出这种描述是错误的 , 因为实际情况是“密苏里州自动将教师社会安全号码传输给每个网站访问者 。 发现并报告此安全漏洞的人没有试图未经授权访问或‘入侵’网站” 。
此外 Shaji Khan 还指出 , 州政府违反了“禁止公开披露公民身份证号码”的法律 , 且未遵循“告知数据泄露受害者事件相关准确信息”的另一项法律规定 。
▲ Shaji Khan 教授
Shaji Khan 聘请了一名律师为自己辩护 , 反对政府的指控 。 他要求州政府保留与此事件有关的所有记录 , 作为诉讼保留的一部分 , 停止“对 Shaji Khan 教授进行毫无根据的调查” , 并“补偿他为自己免受各方毫无根据的指控辩护而产生的合理律师费 , 以及因为各方给他造成的巨大压力和干扰” 。
【密苏里州|密苏里州政府认为查看网页 HTML 源代码违法,属于“黑客”行为】到目前为止 , Shaji Khan 教授向政府提出的终止调查指控以及索要赔偿和道歉要求并未得到回应 。 Shaji Khan 表示 , 如果诉求得不到满足 , 他将会考虑起诉政府 , 探索各种途径在法庭上解决不当行为 。
- 普莉希拉|祖籍徐州的普莉希拉,嫁全球第5富豪扎克伯格,坐拥6530亿被说丑
- 化州市富美家电维修店整合行业招商运营资源的专业平台
- 济宁市公安局兖州分局关于开展冬春季严打整治百日行动的通告
- 江西省|两网融合驿站最新消息 广州明岸
- 广州联通|上传速率、覆盖能力大增!联通携手华为5G超级上行实现“跨站”规模首商用
- 半导体|传英特尔(INTC.US)美国新芯片工厂选址俄亥俄州 拟投资200亿美元
- 宽带用户|沧州长城宽带用户断网20余天无人修 客服:当地有关部门施工导致 城管热线:对存安全隐患低垂线缆进行割接
- 福建泉州:赶制红灯笼 红火迎新年
- 36氪5G创新日报0114|中国首套三端5G配网差动保护装置在青海投入运行;国内核电首个5G智慧仓储项目“慧仓一号”正式投用 | 广州联通
- 机箱|主打性价比还卖300?九州风神AK620实力证明风冷也能干趴水冷