美國(guó)密蘇裡(lǐ)州近期發(fā)生了一起(qǐ)引發(fā)巨大讨論的“安全漏洞”事(shì)件。

根據 Ars Technica 的報道(dào)，《聖路易斯郵報》的一名記者在使用由密蘇裡(lǐ)州中小學(xué)教育部 (DESE) 維護的網站查詢教育工作者的資格證時(shí)，發(fā)現了一個會(huì)暴露教師和其他學(xué)校員工社會(huì)安全号碼 (SSN) 的安全漏洞。

這(zhè)裡(lǐ)所謂的安全漏洞其實就(jiù)是記者通過(guò)使用浏覽器自帶的「查看源代碼」、「查看頁面(miàn)源代碼」此類功能(néng)，發(fā)現教師的社會(huì)安全号碼直接暴露在 HTML 源代碼中（後(hòu)文會(huì)提到這(zhè)些信息經(jīng)過(guò)了 base64 轉碼，但沒(méi)被加密）。

記者發(fā)現漏洞後(hòu)，随即向(xiàng)維護該網站的政府教育部門進(jìn)行報告。同時(shí)，記者所屬報社也做出承諾，在修複漏洞期間不會(huì)發(fā)布任何相關信息。

然而政府接下來的操作卻讓人匪夷所思。他們先是關閉了網站的訪問權限，接著(zhe)召開(kāi)新聞發(fā)布會(huì)，并表示準備起(qǐ)訴發(fā)現漏洞的記者。州長(cháng)在發(fā)布會(huì)上直言報社“企圖讓國(guó)家難堪并爲新聞頭條不擇手段”。他還(hái)說(shuō)道(dào)，“政府不會(huì)成(chéng)爲新聞媒體的棋子。政府會(huì)通過(guò)法律制裁任何一個入侵我們系統的人，追究所有幫助這(zhè)個人的其他人和雇用他們的媒體公司的責任。”

由于在此期間，網絡安全教授 Shaji Khan 幫助記者驗證了漏洞的存在，所以他後(hòu)面(miàn)也遭受到了政府的無端調查和指控。

Shaji Khan 做了這(zhè)樣的操作：

• 訪問任何人都(dōu)可以訪問且無需登錄的公共網站

• 查看公開(kāi)的源代碼（任何人都(dōu)可以使用「查看」菜單選項在任何網頁上輕松完成(chéng)）

• 識别被稱爲"View State"的可疑源代碼片段，其中可能(néng)包含此次事(shì)件中的所謂安全漏洞

• 將(jiāng)已被轉碼的信息轉換成(chéng)可讀的純文本，這(zhè)也是任何人都(dōu)可以完成(chéng)的操作

Shaji Khan 指出，任何人都(dōu)可以在短短幾分鍾内完成(chéng)整個過(guò)程。沒(méi)有任何數據被加密，也不需要密碼，密蘇裡(lǐ)州沒(méi)有采取任何措施來保護該州自動發(fā)送給每個網站訪問者的教師社會(huì)安全号碼。

對(duì)于州政府新聞稿中聲稱一名“黑客”訪問了教師社會(huì)安全号碼的說(shuō)法，Shaji Khan 指出這(zhè)種(zhǒng)描述是錯誤的，因爲實際情況是“密蘇裡(lǐ)州自動將(jiāng)教師社會(huì)安全号碼傳輸給每個網站訪問者。發(fā)現并報告此安全漏洞的人沒(méi)有試圖未經(jīng)授權訪問或‘入侵’網站”。

此外 Shaji Khan 還(hái)指出，州政府違反了“禁止公開(kāi)披露公民身份證号碼”的法律，且未遵循“告知數據洩露受害者事(shì)件相關準确信息”的另一項法律規定。

▲ Shaji Khan 教授

Shaji Khan 聘請了一名律師爲自己辯護，反對(duì)政府的指控。他要求州政府保留與此事(shì)件有關的所有記錄，作爲訴訟保留的一部分，停止“對(duì) Shaji Khan 教授進(jìn)行毫無根據的調查”，并“補償他爲自己免受各方毫無根據的指控辯護而産生的合理律師費，以及因爲各方給他造成(chéng)的巨大壓力和幹擾”。

到目前爲止，Shaji Khan 教授向(xiàng)政府提出的終止調查指控以及索要賠償和道(dào)歉要求并未得到回應。Shaji Khan 表示，如果訴求得不到滿足，他將(jiāng)會(huì)考慮起(qǐ)訴政府，探索各種(zhǒng)途徑在法庭上解決不當行爲。

有關網友的讨論可查看 reddit 上的兩(liǎng)個帖子

• https://www.reddit.com/r/programming/comments/qeuaxf/digging_around_html_code_is_criminal_missouri/

• https://www.reddit.com/r/programming/comments/qhg9yh/viewing_website_html_code_is_not_illegal_or/