墨迹天气马场一周年 安全宝哪安全

提到安全宝，安全业内人士可能并不陌生，官方是这样的介绍的：“国内第一款真正基于云计算架构实现的网站在线保护和加速服务产品，是李开复先生创办的创新工场投资的第一个A轮项目”。

 

不过小编的话题并不仅仅限于安全宝，还有一个著名的手机APP厂商墨迹天气。

安全宝将墨迹天气(mojichina.com)官方网站列为经典案例，似乎暗示着：用安全宝就无懈可击，黑客哪凉快哪玩去。这种事一向是外行人看热闹内行人看门道，黑客圈内对安全宝的安全性屡有质疑。

 

打开安全宝首页，小编在“典型用户”分页中看到它将游侠网、墨迹天气、唱吧和创业家i黑马作为四大经典案例。

 

 

 

墨迹天气官网虽然使用了安全宝的CDN，但终究难脱被黑命运。早在一年前墨迹天气就已经被入侵成为马场，有个别所谓的“白帽子”甚至嚣张的说安全宝除了防弹窗和防注入，基本上就是鸡肋。更有甚者给小编发了一个录像转gif，演示如何使用自写工具绕过安全宝。

 

安全宝是否真的安全暂且搁置一边，单说墨迹天气的程序员，难道你真的以为用了安全宝，从此再也不用对用户的输入进行检查了？！

圈内大牛讲到安全规范总会强调：“任何来自用户的输入都是有害的。”傻瓜化产品防黑客到底是防了黑客还是降低了从业者的安全意识？

 

 

据小编所知，如果不算上这位驻扎一周年之久的帽子先生，能无视安全宝并独自成功入侵墨迹天气官方网站的黑客还有两名，他们表示：“让网站更安全只是噱头，让程序员更SB，让黑客更NB倒是真的。” 听说墨迹天气再次被挂黑页，有喜欢收集数据库的黑客直接给小编发来了截图，称“小学生表示不服”，这让小编很无语，提起墨迹天气，似乎每个人都有一肚子想吐槽的话。

 

 

 

那么我们回到“安全保障专家­­——安全宝”的话题。去年安全宝被曝过几个注入绕过等漏洞，虽然早就修复了，但小编不禁要问，若不被曝光，那这个问题多久才会被发现处理？这是否侧面反映出了产品技术人员的技术不足？

据小编了解，过去一年中CDN类产品对于社会工程学攻击，撞库攻击，持续性渗透，邮服入侵，弱口令攻击等仍然收效甚微。黑客大言不惭固然欠调教，但他们却能嚣张的几乎枪枪命中，小编不禁头上捏了一把汗。

小编顺便提一句，安全宝类产品其实在国外早有先例，习科在北美的同事说此类产品吹嘘的国外认证其实无非是沾北美同类产品的光而已。早在习科走访卡耐基大学的时候，就有一位李开复的年轻校友告诉我们，李开复不过是CMU最普通的学生之一，他所投资的项目无非都是国外先成型，并且可以向中国复制的类型，偶像只是塑造来激励大众的而已。

 

 

小编点评：

小编并没有恶意攻击墨迹天气或安全宝的意思，在上面最后提到的只是转达观点，并不代表小编观点。听到墨迹天气被黑，而其安全防护归安全宝，小编倒是觉得很痛心。中国网络安全发展任重而道远，求快则不稳，只希望安全厂商先做好产品再圈钱，也衷心祝愿安全宝能真的安全起来。

//Silic.Org

 

来自：习科