美国法律专业网站
 

不正当利用浏览器漏洞 网络安全研究人员被封号

最新法律案例及资讯 » 2009年10月20日

美国法佑网综合报道:不正当利用浏览器漏洞 网络安全研究人员被封号

——封号起因

面对自己最新的研究发现,网络安全研究人员Moxie Marlinspike喜忧参半。

喜是容易理解的。但忧从何来?原来同样是因为该发现,Marlinspike被PayPal——一种在线支付工具——封了账号。

据他本人接受采访时称,他是向PayPal打过招呼后,才将研究发现公开的。现在PayPal突然改变主意,完全是他始料不及的。

据PayPal电邮回应,封号的原因不在于会议内容,而是Marlinspike使用该成果的方式。

——个中缘由

Marlinspike的发现有两点:

一、一部分浏览器(如IE)不会读取“”之后字符。

二、以下举例说明。比如有个网站地址为“PayPal.com.badguy.com”,看上去它是PayPal的页面,其实却是它的后缀——badguy.com——的子域名。不仅如此,如果badguy.com的网站拥有者拿这个复杂的地址去申请域名证书,是能够通过证书授权机构的审核的。

基于以上两点,只要任意注册一个域名(如badguy.com),插入“”字符(即成为*.badguy.com)后,就能冒充任何一个网站(*)了。此外,如果再用上Marlinspike在个人网页上提供的工具,任何人都可以瞒过浏览器进行冒充,从而获得目标网站未加密的认证信息。

据PayPal发言人表示,将自己开发的工具提供给游客免费下载是没错,错在网站上的广告——Marlinspike希望支持他的人通过PayPal向他赞助。这种做法有违《可接受使用策略》中的规定——PayPal不应被用来支付那些会侵害第三方信息安全的工具。

但据Marlinspike辩护称,违反该规定拉赞助的人还有很多,但被PayPal封号的就他一人。

目前,只有一部分浏览器——如火狐——发布了信息表示非法证书已被撤销。但由于微软本身的程序错误没被解决,因而漏洞仍然存在。

新闻高级会员服务:获得该案独家法庭原件,原被告资料,证词证据,警察检方细节报告,更多内容,请联系我们。美国电话:+1 650-3311852     中国电话:+86-10-62962550
 
您有类似情况?
免费咨询律师
相关法律文件
 
独家后续追踪报道,请访问 法佑网 http://faayou.com
http://81law.com 法佑网版权所有,转载需注明"出自美国法律专业网站:法佑网 www.81law.com "。

热点评论

发表评论