360提醒部分網(wǎng)站盡快修復登錄漏洞

1月5日，360安全中心公布安全警報稱，目前有少量互聯(lián)網(wǎng)站存在"登錄漏洞"，會導致其用戶的帳號和密碼在登錄網(wǎng)站時泄露在網(wǎng)址中，存在一定安全風險。360安全專家石曉虹博士表示，這些網(wǎng)站的"登錄漏洞"是因為采納了Http Get的方式在用戶登錄時進行身份驗證，只要關閉這項登錄方式，改用安全性更高的Http Post方式，就能修復網(wǎng)站的"登錄漏洞"。

石曉虹博士打了個比方說：網(wǎng)站存在"登錄漏洞"，就相當于一個人把銀行卡號、密碼以及開戶銀行都記在一張紙條上。這是一種極不合理的保密方式，如果整張紙條丟了，就會使自己的財產(chǎn)面臨失竊的危險。不過經(jīng)360安全中心驗證，目前存在"登錄漏洞"的網(wǎng)站數(shù)量并不多，主要是一些安全機制不嚴格的網(wǎng)站，并不涉及網(wǎng)上銀行、網(wǎng)上支付、網(wǎng)游等重要帳號。

有網(wǎng)友評論認為，此前金山毒霸和360就"是否泄露用戶隱私"爆發(fā)口水戰(zhàn)，就是個別網(wǎng)站的"登錄漏洞"惹了禍。對此石曉虹博士解釋道："為了找到木馬攻擊源頭，360和其他國內(nèi)外安全廠商普遍采納了'掛馬網(wǎng)頁觸發(fā)可疑網(wǎng)址上傳'機制，即在用戶受到掛馬網(wǎng)頁攻擊時，會把當前所有未關閉網(wǎng)頁的URL網(wǎng)址上傳到日志服務器上進行驗證，以便把其加入惡意網(wǎng)址庫。如果此時用戶恰好訪問了存在'登錄漏洞'的網(wǎng)站，就有可能把泄露了用戶名和密碼的網(wǎng)址一并上傳，造成安全隱患。"

石曉虹博士進一步表示："360并沒有泄露用戶隱私，只是云安全、云計算這項全新的技術體系有可能把個別'登錄漏洞'網(wǎng)站泄露的用戶隱私采集。如果想從根本上杜絕這個情況，不僅安全廠商應該注意妥善處理用戶信息，互聯(lián)網(wǎng)站也需要積極修復漏洞。"

據(jù)介紹，360安全中心已領先針對網(wǎng)站"登錄漏洞"采取了應對措施：當用戶訪問存在"登錄漏洞"的網(wǎng)站時，即便遇到未知掛馬網(wǎng)頁攻擊，360網(wǎng)盾也不再進行樣本上傳；此外，360網(wǎng)盾未來還將公布一項可以檢測網(wǎng)站"登錄漏洞"的功能，當用戶打開此類網(wǎng)站后第一時間進行安全提示，最大限度地保護好用戶隱私。

關于360安全中心

360安全中心2006年7月成立，是一家基于互聯(lián)網(wǎng)平臺的新興網(wǎng)絡安全公司，信奉"用互聯(lián)網(wǎng)發(fā)動人民戰(zhàn)爭，絞殺木馬產(chǎn)業(yè)鏈"。其創(chuàng)新的"云安全"技術，成立之初就發(fā)動網(wǎng)民共同參與，對流氓軟件和木馬、插件形成了致命的打擊，360也由此贏得了網(wǎng)民和市場。360旗下免費的360安全衛(wèi)士、360殺毒、360安全掃瞄 器、360保險箱和360軟件管家、360手機衛(wèi)士等系列產(chǎn)品，為網(wǎng)民構筑了一個互聯(lián)網(wǎng)和手機的安全防線，全方位保護網(wǎng)民上網(wǎng)安全。