Sent to you by nothing via Google Reader:
"浪"子回头金不换。
今天早上 @36氪 报道了一个新浪微博iPhone客户端的重大bug,我们当时的报道:
很明显t.sina.cn是新浪用于移动网页版和移动客户端版微博的子域名,有别于桌面版的t.sina.com.cn。以上的演示说明移动版微博在链接提供gsid的情况下,并不使用cookie对用户进行身份确认(虽然cookie的安全性也很低,在无加密的Wifi环境里任何人用Firefox的Firesheep插件都可以轻松获取其他人不加密连接的cookie)。打个比方说,如果李开复老师用手机客户端的邮件分享功能发送一则微博给我,那么我就能获取他的gsid,并利用这个安全漏洞向400多万开老师的粉丝发布任何我想发布的内容,这是很可怕的一件事情。
在这里,@36氪提醒新浪微博用户,在这个安全漏洞被修复之前,请不要再使用手机客户端的"邮件分享"功能。
就在发表这篇文章不久,奇怪的事情发生了:@36氪 的新浪微博官方账户@36氪无法访问了。打开36氪官方微博显示的是一个错误提示页面:
你当前使用的IP地址或者帐号由于违反了新浪微博的安全检测规则,暂时禁止访问。
在新浪微博中搜索"36氪",得到的提示是没有该用户。
我们通过新浪微博给出的电话联系了新浪,经过复杂的菜单提示之后,我们得到的结果还是上述错误页面中的提示。
截至本文发表时我们还没有获得来自新浪的任何回应。就在我们把《新浪微博的重大安全漏洞,可能导致微博帐号被轻易盗用》一文同步到新浪微博上时,新浪员工曾通过私信联系@36氪,要求删除文中的安全敏感信息。
新浪微博是国内微博界起步较早的一家,我本人是新浪微博的第一批受邀测试用户。自成立以来新浪微博成功地把新浪博客的名人模式复制到了新浪微博上。并且在借鉴Twitter的同时进行了很多值得称道的创新,更加适合中国特色。
就微博而言,新浪微博搭了一个很好的戏台,好戏连台,但我希望新浪微博能善待那些在台上唱戏的人,哪怕他不是名人,哪怕你有再多的难言之隐,哪怕腾讯微博的脚步声还很远。
我也知道我们活在一个不那么自由的环境里,但或许大家都可以阳光一点,一点点就好。
更新 :新浪称此次 @36氪 账户被冻结是误会。并表示会给出进一步解释。届时我们将继续更新。
转载请注明: "转载自@36氪",谢谢:)
Things you can do from here:
- Subscribe to @36氪 using Google Reader
- Get started using Google Reader to easily keep up with all your favorite sites
No comments:
Post a Comment