被无视的网络交易平台安全与诚信

核心提示： 同时，许多用户在看到漏洞公告的时候可能会想，被无视的网络交易平台安全与诚信(9)，这个漏洞会引发如此严重的后果，那我还是不要去使用网络支付平台了，但是为什么却没有为用户的利益着想呢？==我是分隔线大人===作者注：本文提及的购物事件纯属杜撰，仅为了从生活的实际方面强调类似平台如果发生问题的

同时，许多用户在看到漏洞公告的时候可能会想，这个漏洞会引发如此严重的后果，那我还是不要去使用网络支付平台了，这样就可以避免被“黑”了！这个想法更是错误的，虽然这个网络支付平台的用户控件存在漏洞，但是网络支付平台自身还是相当安全的，而且，只要你的系统中存在有漏洞的控件，无论你是否访问了网络支付平台，攻击者都可以通过某个特殊构造调用支付控件的网页来实施攻击，达到在受害者的机器上种植后门程序的目的，而只要后门程序在用户的机器上安家了，接下来可能发生的事情就不是我们能预料的了，甚至可以在浏览器中设置一个BHO，监视用户的输入，从而实施敏感信息截获和钓鱼手法等，而这一切，和支付平台自身并没有任何关联。

也有人认为，漏洞这么有害，安全人员不应该公布，这样大家都不会知道了，也就不会出任何问题，就像当年Flashsky公布RPC漏洞导致后来的冲击波蠕虫出现并造成大规模的混乱一样，如果没人公布出来，这一切不就是不会发生了？然而现实并非如此，无论是否有人公布漏洞，漏洞自身的存在都已经是不可改变的事实，被发现只是时间的问题，即使不是你发现漏洞，也有可能被另一个人发现，而如果漏洞发现者没有做出通知厂商修复和发布漏洞信息的行为，而是将自己的成果偷偷使用在入侵与窃取他人敏感数据的用途上，那么现在的网络世界秩序将会是一塌糊涂。事实上，目前已经有许多人这样做了，实际被发现的漏洞远远比公布在大众面前的要多，这些地下流通甚至金钱交易的漏洞就是通称的“0day”。由于软件厂商无法得到漏洞信息，也就不会知道具体的漏洞所在，更无法对漏洞采取有效的修复措施，最终受害的还是广大用户。

而如果软件厂商得到漏洞信息后，不使用正规严肃的态度去发布漏洞信息和解决公告，仅仅是偷偷的更新软件，那么许多用户将无法得知危害存在，也就不会去做软件更新工作了，更何况这次事件里，由于厂商隐瞒真相，用户根本不相信出了这么严重的漏洞，而要收到厂商的升级提示，是需要用户开启一个与交易平台有关的即时通讯程序才能收到的，但是使用这个工具的用户比例，厂商有没有做过统计呢？最重要的是，只要存在漏洞的控件还没更新，用户即使不使用与交易平台有关的操作，也无法躲过漏洞的侵袭，所以，厂商的做法是十分不为用户负责的。

但是我们没必要因为漏洞的存在而拒绝使用网络交易平台，因为谁也无法一次写出非常安全和考虑周到的程序，只希望厂商以后能用正确的态度去对待可能再次发生的问题。

四. 利益为主，还是以人为主？

说到这里，我相信大部分用户都会明白，在这次事件中，究竟是谁撒了谎。安全问题和引发的后果，永远是无法隐瞒的，即使有面对媒体时的极力否认、雇佣枪手掀起好评热潮，甚至通过某些手段为自己谋来一份“权威认证”，漏洞存在的事实也是无法被掩埋的，都说科技以人为主，厂商为了自己的利益和留住用户费了许多苦心，但是为什么却没有为用户的利益着想呢？

======================我是分隔线大人=======================

作者注：本文提及的购物事件纯属杜撰，仅为了从生活的实际方面强调类似平台如果发生问题的严重后果，现实中应该尚未来得及出现此案例

**此文仅为介绍支付平台的一些肤浅原理概念以及诚信的影响，请勿对号入座**

======================华丽的分隔线=========================