2014-10-27 21:31
迟到的——也不能说正义吧,不管是啥,迟到总比不到强。 //@王志安: 这话说的还差不多。可是,前两天你们周老板还在骂人家是“鹰犬”,“打手”,你们现在却要感谢这些鹰犬和打手,你们老板会不会收拾你们?如果这是你们周老板授意的,那周鸿祎是不是该为前两天的言辞道个歉?
2014-10-27 15:57
360安全应急响应中心感谢GeekPwn在比赛结束后提供的360儿童卫士2漏洞细节报告。目前,360已完成对该漏洞的修复,我们将按照相应的奖励方案,对漏洞报告者给予致谢与奖励
2014-10-27 20:54
如此说来,网银客户端通信如果不加密被嗅探到的也只不过是帐号密码。//@赵武360: 在被攻破的情况下泄露的是位置信息,利用难度不只是钱,还要近距离接触。tk可以给出你的定级。//@tombkeeper:我觉得儿童卫士保护的主体还是挺珍贵的,利用难度就是一个千把块钱的小设备。
2014-10-27 20:28
任何技术层面的讨论都是科普的最好时机,大家可以学到很多知识。我理解qid对应用户名,token对应密码,那么只要存在传输协议没进行加密的(如http),那么在嗅探或中间人的情况下,都会被获取。那么我说目前大部分网站和APP都可能被攻破,不知道理解是否正确。当然老谭说了还要考虑成本和收益和影响。
2014-10-27 20:49
我觉得儿童卫士保护的主体还是挺珍贵的,利用难度就是一个千把块钱的小设备。//@赵武360: 最后说的价值问题看来是争议的关键点,确实不同安全等级的产品对漏洞的顶级不可能是一致的……那么问题来了,如何定义儿童卫士的资产级别,以及此次漏洞的利用难度?
2014-10-27 20:28
任何技术层面的讨论都是科普的最好时机,大家可以学到很多知识。我理解qid对应用户名,token对应密码,那么只要存在传输协议没进行加密的(如http),那么在嗅探或中间人的情况下,都会被获取。那么我说目前大部分网站和APP都可能被攻破,不知道理解是否正确。当然老谭说了还要考虑成本和收益和影响。
2014-10-27 20:30
renew
2014-10-27 16:01
接下来不知道是不是这样:1、无视产品所涉及数据的敏感性,好比网银客户端拿新闻客户端的标准要求自己,轻描淡写地声称信道不是厂家的事儿,数据可被获取是很寻常的,没什么大惊小怪。2、仅通过不会被广为传播的渠道确认漏洞相关信息,而主要官方消息渠道继续挂着那些抵赖和污陷,没准还再补点新的。