为什么苹果“炸掉”开发者网站是件好事?

移动开发
苹果公司决定“炸掉”开发者网站,通过重建来解决安全问题的“休克式疗法”会带来巨大的经济损失,但这绝对是个正确的决定。

苹果开发者中心在7月18日因为安全漏洞或攻击而关闭,截至发稿也没有完全恢复。苹果公司在声明中表示,这起安全事件可能导致27.5万苹果开发者的姓名、通讯地址和电子邮件地址等信息泄漏,但苹果公司强调敏感的个人资料都经过加密,无法被访问。(编者按:土耳其安全专家Ibrahim Balic声称对攻击负责,并在Youtube上发布视频公布苹果开发者网站的跨站脚本XSS安全漏洞)

苹果公司在安全问题上是出了名的守口如瓶,以这次安全事故为例,事发后三天苹果对外宣称网站关闭是因为“维护问题”。直到了当周末,苹果才发表了对这次网站关闭的解释以及数据外泄的范围。另一篇并没有得到太多关注的公告是说明他们现在为此做些什么:

为了防止这样的安全威胁再次发生,我们已经全面的审查我们的开发系统,更新我们的服务器软件,并且重建了整个数据库。

换而言之,苹果公司已经决定接受长时间关闭网络服务的巨大损失,好通过完整的重建来彻底解决安全风险、威胁和安全漏洞。套句电影《异形》女主角蕾普莉的名言:苹果决定将开发者网站整个炸掉,因为“这是唯一可以彻底解决的办法。”

这几乎是前所未有,全面性的响应,特别是在还不确定是否真有外泄事件时。一名来自英国的安全研究人员 – Ibrahim Balic声 称他发现了该网站的漏洞,通知苹果公司,之后他们关闭了网站。他还声称,他没有入侵该系统或存取数据。不管是否有外泄事件出现,这次事件里资料外泄的范围 (或可能外泄)是有限的,而这也是为什么苹果“壮士断腕”式的做法是值得赞赏的。要知道,没有多少公司可以接受长时间关站来做正确的事和重建(编者按:除 非该站需要在工信部备案),另外一起可参考的事件是索尼在2011年针对PlayStation Network被入侵的回应,在那次事件里索尼关站了25天。但在索尼PSN安全事故中,有明确的数据外泄发生——7700万用户数据泄漏,包括1.2万张用户信用卡资料。

索尼公司表示,那起外泄事件造成他们至少一亿七千一百万美元的损失,很大一部分是因为关站来重建系统。尽管如此,索尼做了正确的事情去接受关站的决定,此后也没有入侵外泄事件发生。可惜的是Sony并不会因此获得称赞,他们应该要有的。

所以Apple的安全团队也应该得到称赞,因为他们做了和Sony一样的事情,并不只是在整个混乱的架构下修补一个漏洞,而是花时间来重建系统,让系统更加安全。如果我们有更多的企业用这方式来应对入侵外泄事件,我们(技术、隐私、安全和网络威胁)产业将会变得更好。

责任编辑:张叶青 来源: 开源社区
相关推荐

2013-07-22 10:08:28

苹果开发者网站

2022-01-26 08:00:55

软件系统软件开发

2012-11-16 14:57:25

2013-03-28 19:25:35

腾讯云

2018-08-23 09:36:10

软件开发编程

2012-09-19 09:58:06

开发者iPhone 5

2010-10-14 16:28:52

WiMax

2013-04-25 10:14:39

Facebook开发者开发

2018-03-30 09:17:08

人工智能机器机器学习

2013-07-26 13:52:06

2020-08-23 08:58:57

依赖注入代码程序员

2014-05-30 17:21:04

WWDC2014预测苹果

2022-01-20 19:49:10

Sentry开发Scope

2013-07-30 10:33:02

2013-07-22 09:31:26

2014-09-17 10:16:41

Java 9

2012-07-13 13:51:57

AndroidiOS

2014-07-07 09:44:05

前端前端渲染

2023-09-20 15:02:56

Java编程语言

2014-12-04 09:58:59

PHP
点赞
收藏

51CTO技术栈公众号