為保障使用者安全而須進一步揭露

使用者安全絕無妥協的空間。任何攻擊活動都會削弱安全機制,最後定將危害使用者。只要你在 Mozilla 產品中發現安全漏洞,希望你能回報讓我們儘快修復。Mozilla 也因此成為率先提供除錯獎金的公司之一 。我們現要再次採取行動,期能在可能的錯誤擴散之前,即取得相關資訊並儘速修復之。

圖片來源:http://www.pcworld.com

圖片來源:http://www.pcworld.com

我們針對審理中的犯罪案件提交了一份簡易聲明:倘若 Mozilla 的程式碼涉入安全漏洞,則法院在將該漏洞告知其他人之前,應先行讓 Mozilla 知道。我們不支持本案例中任何一方,而與數以億計的使用者站在同一陣線,希望漏洞應能立時揭露而保障大家的安全。

本案例中所提及的問題,起自於美國政府單位在「Tor」瀏覽器發現了安全漏洞。而 Tor 瀏覽器另部份取用了 Firefox 瀏覽器的程式碼。包含辯護方在內,有多人推斷此一安全漏洞可能也存在於 Firefox 瀏覽器的程式碼之中。但除了政府相關人等以外,卻沒其他人知道此一漏洞的存在,且可能波及 Firefox 程式碼,甚至 Mozilla 內部也沒有任何人被告知此一顧慮。本案法官責令政府單位應將該漏洞告知辯護方,但不應通知可修復此漏洞的任何公司。Mozilla 則認為「在漏洞擴大之前不允許其他第三方修復漏洞」甚是不合理。

法院責令依照安全研究社群的「最佳揭露實例」標準,揭露相關漏洞。而在此判例中,法官應該要求政府先將該漏洞告知受影響的科技公司,使能儘快提供修正檔才是解決之道。

政府與科技公司理應確保大家的線上安全。若能先向科技公司揭露安全漏洞,即可讓我們儘早開始作業,避免使用者受到傷害,打造更安全的 Web。

 

 

原文連結:Advance Disclosure Needed to Keep Users Secure

 

 

您可能也會喜歡

目前找不到相關文章

對此文章發表回應

你的電子郵件位址並不會被公開。 必要欄位標記為 *