263邮箱隐患的背后
网络与通信
电子邮箱在免费之后用户群呈现出“爆满”趋势。而“爆满”之后却蕴涵着众多商机。在网络公司看得见盈利希望的时候,它们是不会放过任何一棵能“救命的稻草”的。于是众多邮件提供商们开始算计着网民兜里的钱了。
其实免费邮箱向收费邮箱的转换由来已久,先是新浪网2001年8月份宣布,在保留其免费邮箱服务基础上,正式推出邮箱收费服务。随后的2001年9月1日,中华网悄然推出邮件收费服务──“信天邮”收费邮箱。原先的88MB存储空间缩减为5MB,收费邮箱“信天邮”推出10MB和20MB两种选择。紧跟着2001年11月15日网易也在京正式发布收费VIP邮箱和企业邮箱。同时,网易的免费邮箱仍将保持,并增容至25MB。这些事情在当时都引起轩然大波。但比起263这次的“与过去的收费彻底了断”,在现在看来其他家当初显得那么的安静。
吵闹背后其实还有更多的麻烦,这一次263的收费邮件遇见了更大的麻烦。因为有网民说:
263天下邮凸显安全隐患
263宣布在5月21开始实行全员收费制,并承诺对消费者保证“三零服务”(60天无条件退款,快捷、安全、稳定的高性能信箱,非用户原因故障赔偿)更显出了263对自己的信心。而在此之后,有网民对263天下邮的安全问题提出质疑,给了263的自信心一记重创。
这位名叫陈正平的网友指出:一旦使用263天下邮服务,在计算机上浏览自己信件后,即使关闭IE浏览器,当再打开网页时,直接从历史记录里找到邮箱地址,点击就可进入,不需要任何身份认证。并且可以任意查看信件。换句话说,如果是在公用电脑上浏览263信箱,私人信箱就很有可能成了一个公用邮箱。“而且这种方法及其简单,只要会上网的人都能操作。”
那么,263信箱果真存有这种安全隐患吗?为了证实这一说法的可靠性,记者采访了中国科学院信息安全技术工程研究中心主任卿斯汉研究员。经过现场操作演示后,卿主任表示:263邮箱的确存在安全问题。“这是一个很简单的漏洞,叫做重放攻击,是软件开发时对口令认证没有认真研究才造成的。这个漏洞解决起来也并不困难,只要加上时间戳、加乱数或插卡就可以了。而且,这个问题和IE浏览器无关,网站应当承担责任,给网站提供这种认证机制的开发商也应当承担责任。”
其实,在采访中很多网民都表示,自己并没有删除历史记录的习惯,而且尤其在网吧中上网,根据规定网吧中的历史记录要保持60天时间,更何况在公用局域网上,使用这种有隐患的邮箱造成的后果更可怕。专家们也纷纷表示,并不能要求网民上网后必须要删除历史记录,服务商在提供邮箱服务时,就应当把这一问题考虑进去,更何况像新浪、搜狐同样是邮件服务提供商却并不存在这一问题。
对于自己存有的安全隐患,几年前就开始提供邮箱服务的263对此又作何解释呢?其市场总监毛新接受采访时说:“任何软件都会有Bug,只能是在使用过程中不断地发现和完善它。现在我们使用的是最早购买别人的软件,5月21日后我们将使用自己研发的软件系统。在此之前263并没有发现目前使用的软件存有安全隐患,在得知这一情况后,263连夜组织了一个技术小组,对这一漏洞进行技术上的弥补,现在这一问题已基本解决。”
邮箱漏洞带给人们的思考
其实,记者在采访中与专家共同演示,发现存有重放攻击漏洞的并不只是263一家,163.com等网站也存在这一问题。所幸的是,经过这场“安全漏洞”风波之后,无论是263还是163都已将这个漏洞打上了“补丁”,但是,在风波的背后,却给人们带来了一连串的问号。
首先,作为邮箱安全性应是放在第一位考虑的问题,那么,我国是如何对网站提供的邮箱服务的安全性进行评估和监督的呢?中国科学院信息安全技术工程研究中心主任卿斯汉介绍说:目前,对软件等产品和服务的认证已经建立并实施,但是,并没有一个对网站邮箱的认证机制,其安全性也就无从更无人监督。为了保护广大网民的利益,尽快建立一个针对网站服务的认证机制也就成了当务之急 。
其次,作为服务提供商的网站也应当明确自己的权利和义务。据业内知情人士介绍,目前大部分网站邮箱使用的还是几年前开发的老软件,漏洞多多。但因为邮箱一直是免费提供,并无任何收益进账,所以网站宁愿维持现状也不愿再投入大量资金研发新的软件。那么,“免费”真的能作为提供有安全问题邮箱的借口吗?
另外,网民也应当对自己使用的邮箱安全起到监督的作用。正如263市场总监毛新所说“任何软件都会有Bug,微软也不例外。”在微软每年提交的漏洞补丁通告中有相当一部分是由使用者发现并反映的。而在记者采访中发现,有相当一部分用户在几年前已经发现263邮箱存在重放攻击这一漏洞,但都“没当回事”以致过了几年的时间这一漏洞才被发现并弥补。
目前,一些网站长期存在的所谓“重放攻击”的漏洞已经解决,但是我们所使用的各个邮箱是否还存有其他的漏洞和安全隐患就不得而知了。谁来查找这些漏洞?谁来保护我们的权益?如何找到这些隐患?这一切的行为应当在什么样的监管机制下进行?