我去!每天都用的这个操作居然算“黑客行为”?
下面这个“查看页面源代码”的操作,相信你跟我一样,经常会用吧?
就这样一个对我们来说再正常不错的操作,最近居然被美国密苏里州州长认定为黑客行为?还扬言“州政府会通过法律制裁任何一个入侵我们系统的人,其中也包括帮助和教唆他们这样做的人"...
因为该州长的一系列“无知”操作引发了热议,下面一起看看到底发生了啥!
以下内容转载自OSC开源社区(ID:oschina2013)
美国密苏里州近期发生了一起引发巨大讨论的“安全漏洞”事件。
根据 Ars Technica 的报道,《圣路易斯邮报》的一名记者在使用由密苏里州中小学教育部 (DESE) 维护的网站查询教育工作者的资格证时,发现了一个会暴露教师和其他学校员工社会安全号码 (SSN) 的安全漏洞。
这里所谓的安全漏洞其实就是记者通过使用浏览器自带的「查看源代码」、「查看页面源代码」此类功能,发现教师的社会安全号码直接暴露在 HTML 源代码中(后文会提到这些信息经过了 base64 转码,但没被加密)。
记者发现漏洞后,随即向维护该网站的政府教育部门进行报告。同时,记者所属报社也做出承诺,在修复漏洞期间不会发布任何相关信息。
然而政府接下来的操作却让人匪夷所思。他们先是关闭了网站的访问权限,接着召开新闻发布会,并表示准备起诉发现漏洞的记者。州长在发布会上直言报社“企图让国家难堪并为新闻头条不择手段”。他还说道,“政府不会成为新闻媒体的棋子。政府会通过法律制裁任何一个入侵我们系统的人,追究所有帮助这个人的其他人和雇用他们的媒体公司的责任。”
由于在此期间,网络安全教授 Shaji Khan 帮助记者验证了漏洞的存在,所以他后面也遭受到了政府的无端调查和指控。
Shaji Khan 做了这样的操作:
访问任何人都可以访问且无需登录的公共网站
查看公开的源代码(任何人都可以使用「查看」菜单选项在任何网页上轻松完成)
识别被称为"View State"的可疑源代码片段,其中可能包含此次事件中的所谓安全漏洞
将已被转码的信息转换成可读的纯文本,这也是任何人都可以完成的操作
Shaji Khan 指出,任何人都可以在短短几分钟内完成整个过程。没有任何数据被加密,也不需要密码,密苏里州没有采取任何措施来保护该州自动发送给每个网站访问者的教师社会安全号码。
对于州政府新闻稿中声称一名“黑客”访问了教师社会安全号码的说法,Shaji Khan 指出这种描述是错误的,因为实际情况是“密苏里州自动将教师社会安全号码传输给每个网站访问者。发现并报告此安全漏洞的人没有试图未经授权访问或‘入侵’网站”。
此外 Shaji Khan 还指出,州政府违反了“禁止公开披露公民身份证号码”的法律,且未遵循“告知数据泄露受害者事件相关准确信息”的另一项法律规定。
▲ Shaji Khan 教授
Shaji Khan 聘请了一名律师为自己辩护,反对政府的指控。他要求州政府保留与此事件有关的所有记录,作为诉讼保留的一部分,停止“对 Shaji Khan 教授进行毫无根据的调查”,并“补偿他为自己免受各方毫无根据的指控辩护而产生的合理律师费,以及因为各方给他造成的巨大压力和干扰”。
到目前为止,Shaji Khan 教授向政府提出的终止调查指控以及索要赔偿和道歉要求并未得到回应。Shaji Khan 表示,如果诉求得不到满足,他将会考虑起诉政府,探索各种途径在法庭上解决不当行为。
面对路见不平的Shaji Khan教授遭受政府的无端调查与指控,众网友也是在线给州长大人补课:
如果你的这个操作被指是黑客行为,你想对州长说些啥呢?
留言说说你的看法吧!
往期推荐
为什么IDEA不推荐你使用@Autowired ?
根本停不下来,原来学计算机可以这么有趣
数学系学生的漫画,治愈了整个朋友圈
炸裂!跑P站上教微积分,年入170w...
SpringBoot + Mybatis Plus + ClickHouse增删改查入门教程
技术交流群
最近有很多人问,有没有读者交流群,想知道怎么加入。加入方式很简单,有兴趣的同学,只需要点击下方卡片,回复“加群“,即可免费加入我们的高质量技术交流群!
点击阅读原文,送你免费Spring Boot教程!
我去!每天都用的这个操作居然算“黑客行为”?相关推荐
- Symbol - 看似平凡的Symbol其实我们每天都在用 - 字符串操作
前言 小伙伴们大家好.前面我们分享了一篇关于对象操作的几个Symbol的内置属性.比如实例检测的Symbol.hasInstance,对象类型转换的Symbol.toPrimitive和检测数据类型的 ...
- 阿里情书 | 爱情是什么模样?想来想去,都是你的模样
前几天,很多人都被阿里日的集体婚礼刷屏了. 那些穿着白色婚纱和马甲西装的阿里新人,牵着另一半的手,走上红毯,在上万名阿里人的欢呼祝福中,郑重地走上婚礼主会场. 那天,阿里园区的空气似乎都是粉红色的. ...
- 上海的大学计算机专业高考分数线公布,上海全部64所大学排名及分数线分析,想去魔都上学考生家长必看...
作为我国的经济中心,几十年来,魔都上海一直是广大考生及家长心目中的求学圣地!甚至经常能看到这样的新闻:某考生宁愿放弃中西部211大学的机会,也要去上海一所普通大学就读! 上过大学的人都知道,这样选其实 ...
- 某宝花钱买到的英雄联盟教程,存一份拿去倒卖都是稳赚
某宝花钱买到的教程,存一份拿去倒卖都是稳赚,免费分享给兄弟们了~ 链接: https://pan.baidu.com/s/143INccc32FEYzs2Gvu3qww 提取码: v3dc
- hp计算机指纹功能用法,都9102年了 你居然问我指纹解锁开机是个啥?
按下电源键,输入密码,咦?密码输错了--再输--咦?又错了!开机密码是啥来着? 设置开机密码很普遍(图片引自网络) 相信很多朋友都有过上述经历.为了让笔记本更安全,于是设置了一个开机密码.并且为了提高 ...
- 有这两款手机拍照扫描软件,去哪都可以轻松使用
在实际生活中,除了一些业务必须要使用身份证外,我们很少有人随身携带身份证.因为身份证对于我们每个人来说很重要,如果丢失补办的话,不仅费钱还费时间.不过有时突然要用到身份证,我们又没带身份证该怎么办呢? ...
- 【笨木头Unity】入门之旅005:正常人都要掌握的操作
各位,对不起,我一直都很想快点进入代码的教程,但是不知道为什么,老是在编辑器这边徘徊. 这不,本篇又要介绍编辑器了,唉.(小若:好可怜-个屁吖,还不是你自己要介绍的!) 笨木头花心贡献,啥?花心?不, ...
- SpringBoot上传文件到 后端服务器 或 云服务器(七牛云、阿里云、腾讯云等等都是一样的操作步骤)
文章目录 一.新建SpringBoot项目 1.pom.xml 2.application.yml 3.配置Swagger3 4.统一返回类Result 5.统一异常响应ErrorCode 二.上传文 ...
- 操作系统之进程管理(上),研究再多高并发,都不如啃一下操作系统进程!!!...
目录: 进程管理 程序运行过程 进程实体的组成 进程的组织 进程的状态与转换 进程控制 为什么需要原语? 原语的实现? 中断机制 进程通信 共享内存 管道通信 消息传递 小结 线程 三种线程模型 多对 ...
最新文章
- 在深度学习的路上,哪些框架或学习平台值得推荐?
- easyui js解析字符串_easyui的解析器Parser
- C语言循环队列的实现方法,C语言循环队列(数组实现)
- PHP命令注入 Command injection
- ocbase 数据库 蚂蚁_iOS开发数据库篇—FMDB简单介绍
- android复位机器人图片_Universal-Image-Loader 图片异步加载类库还不熟?
- 带着canvas去流浪系列之一:绘制柱状图
- 简易 Vue 构建--篇三
- 华为机试HJ2:计算某字母出现次数
- php 获取 年月日时分秒_JS获取年月日时分秒的方法分析
- Mysql Data type
- Linux使用docker安装RabbitMQ一站式教程【图文教程】
- python下载网页内容_使用selenium下载整个html页面内容
- Windows 下 git的安装 + 可视化的小乌龟的安装
- SPSS简介【SPSS 004期】
- debian nvidia 安装_Debian安装Nvidia显卡驱动
- 电力电气自动计算excel表格大全【共46份】
- python计算机视觉:PIL图片格式转换
- python替换word内容,文档翻译-使用python替换word文档中的段落内容
- ftp服务器覆盖文件,ftp 覆盖 服务器 文件