flashsky 那天去TENCENT做安全测试的交流,听到一个很奇怪的理论:TENCENT不是卖软件的,是卖软件之上的服务的,由于软件不直接收到钱,不愿意对软件的安全问题花钱,只愿意对服务的安全问题买单。 但我觉得 1)服务是基于软件的,没有了软件,也就没有了服务的载体。虽然卖的是服务,没有靠软件直接收钱,但是用户对软件的信任度会直接影响到服务。无论是卖服务还是卖软件,都必须且有责任改善自身产品的安全质量,以保护自己用户的安全,不能因为你不是卖软件的,但用户因为使用你发布的软件遭受到的安全问题你就可以置之不理。 2)基于服务的软件更需要注重安全,我可以说个案例,04,05年:TENCENT的QQ附带的QQMAIL工具,大量拷贝微软IE的DLL到自己目录下使用而很少跟进IE的补丁升级,导致微软IE补丁修复后的漏洞,QQMAIL里还存在,结果导致我认识的很多朋友因为这个遭受过重大损失,基本都弃用QQMAIL工具,我的机器也因为这样的安全漏洞被成功入侵过,虽然及时发现没有导致更多损失,但是到现在我都养成习惯,哪怕是现在QQMAIL改成WEB形式了,QQMAIL里的来信一律不收不看,也不会以QQMAIL作为自己使用的邮件,另外也对QQ会大量使用IE DLL的浏览器也拒绝使用并且让所有认识的亲戚都不要使用,不是因为对TENCENT有偏见,而是对以前因这些产品的安全问题导致自身的安全的事件记忆深刻。可以说,只要用户明白了自己的损失是某个软件的安全漏洞造成的,都会长期丢弃对应软件之上的服务的,而且基于通讯服务的软件,对安全性要求更高,一个不可利用的CRASH如果能导致用户无法使用软件,也会造成服务的失效,所以基于服务的软件更需要注重安全。
|
