使用F12本来是再正常不过的操作,然而近日美国密苏里州发生了一件令人啼笑皆非的事情,一名记者使用F12发现了一个网站的漏洞,并提交给维护该网站的政府教育部门,结果被起诉,指控其黑客行为。
根据 Ars Technica 的报道,《圣路易斯邮报》的一名记者在密苏里州中小学教育部维护的网站,查询教师资格证书的时候,一时心血来潮,按下F12查看网站的html源代码,结果意外发现了一个会暴露教师和其他学校员工的社会安全号码(SSN)的安全漏洞。
这个网站允许用户查看密苏里教师的证书,只需要输入姓氏和社会安全号码的后四位数字,就能查询到对应老师的证书。然而因为这个安全漏洞,查询者可以轻易在html源代码中查看到完整的社会安全号码。
根据密苏里州的法律,社会安全号码是严禁公开和披露的。
让人大跌眼镜的是,当记者把这一漏洞,反馈给负责维护的教育部门,且承诺在修复漏洞期间,不会将漏洞公开后,竟然遭到了密苏里州政府的起诉。
首先,他们关闭了网站的访问权限,然后召开记者发布会,表示将起诉发现漏洞的记者。州长放下狠话:“该记者企图让国家难堪并为新闻头条不择手段他还说道,政府不会成为新闻媒体的棋子。政府会通过法律制裁任何一个入侵我们系统的人,追究所有帮助这个人的其他人和雇佣他们的媒体公司的责任。”
因为帮助记者验证漏洞,密苏里大学圣路易斯分校的网络安全教授Shaji Khan也遭受到了调查。
该事件一经发生,国外网友纷纷吐槽,有的人说:“真正的黑客从来不用F12,而是用Ctrl+Shift+i。”也有人调侃道“如果你用的是Windows,按下cmd-u或者ctrl-u,恭喜你,你现在已经是一名精英犯罪黑客了。”
这已经不是美国政客们闹出第一个关于IT领域的笑话。
早在2018年,脸书隐私门事件中,扎克伯格出席美国参众两院听证会时,参议院们的提问就暴露出他们对IT的无知。
比如参议员奥瑞恩·哈奇向扎克伯格提问“脸书不是免费的吗?你们怎么赚钱”等等。有的参议员还提出了许多自认为很有建设性的建议,比如用户能不能把自己的数据从脸书转移到别的平台等等,结果脸书早就这么做了。
网页安全真的不分国界,美国如此,中国的一些开发者也是如此。
手机号、密码、账号等数据应该保存在数据库中,而有的“开发者”不知道是水平有限,还是图省事,亦或是甲方尾款没到账,直接将这些敏感数据写在html代码中。曾经就有开发者做过很奇葩的事情,他直接将用户账号和密码写在html代码里,然后再判断用户数据的账号密码,是否与代码中的一样,以此来校验密码是否正确。
对于密苏里州州长的行为,真的特别想送他一本《HTML CSS JavaScript网页制作 从入门到精通》。