为何12306不改进呢?会起到什么作用?与之前的泄密有关么?若造成损失、安全问题,能诉讼、追讨铁道公司责任吗?

@财经网:美国证监会的做法:是先起诉了再说
而且举证倒置,不能拿出:足够打动所有人得理由
那就是:上缴所有获利,并巨额罚款
乃至刑事

国外,具体可参考:泄密门引发诉讼 索尼苹果化转型或受挫
索尼的战略转型速度,很可能因为泄密门事件,而放缓
因为,加拿大、欧洲等地的用户
已经开始起诉,并索取巨额赔偿

推荐  (1) | 7人关注关注
5个答案
43 0

傅里叶变黄油猫软件工程师,应用数学专业

2015-01-21 09:01

和之前的密码泄露事件没有关系。出现这个安全警告是12306官方没有通过正规途径申请证书、并要求用户下载和信任他们自己生成的根证书造成的。

很多网站通过加密连接来保障用户信息安全,而建立加密连接时客户端(浏览器)要检查网站出示的安全证书,以确保对方是受到监管的、可以信任的。你可以理解成:警察执法时,我有权要求他出示证件以证明他的身份。

但是证书必须有一家可以信任的机构来担保。例如,你可以通过致电公安局来验证警察的身份,而公安局的合法性也可以通过更高一级的国家机关部门来确认。同理,建立加密连接时网站出示的证书也必须有一条完整的信任链,一个证书必须有另外一个证书来证明合法性。果壳的登录页面就是一个通过加密连接传输的页面,我们可以查看这个证书的合法性:

从这个信任链可以看出,我登录果壳时建立的加密连接有一个有效的证书,而这个证书由另外一个证书所担保(Go Daddy - 爸爸去哪儿?其实是个安全证书机构),而根证书(最上一级证书)安装在我的电脑上。

所以这个信任链大概就是:我信任我的电脑制造商,我的电脑制造商信任GoDaddy(所以才把他们的证书安装在操作系统里),GoDaddy信任*.guokr.com,所以我应该信任*.guokr.com。

那GoDaddy凭什么信任*.guokr.com?交钱呗。通过向安全证书机构够买证书,才可以向客户端发出有效的证书。而安全证书机构也不是白收钱的,他们一方面要担保客户、追究滥用证书者的法律责任,另一方面要分钱给操作系统开发商——微软、苹果。

好了,抠门起来不想交钱但又想用加密连接的怎么办?那就像12306.cn,用自己生成的证书,浏览器给你一个大大的安全警告,表示它不信任这个网站出示的证书。你可以选择每次忽略这个警告,或者下载、信任12306自己生成的根证书。这就像有个警察上门办案,出示了一个自己制造的证件,并请你无条件信任他:“虽然我看起来是坏蛋,但其实我是好人。”

这个截图显示我已经手动下载并信任一个叫SRCA的根证书。

12306的做法存在安全隐患,因为大部分用户不知道下载安装证书是怎么回事,他们选择每次使用网站都忽略浏览器安全警告,当有假冒的网站出示假冒的证书时,用户也会习惯性地忽略,并把账号密码发给那个看起来和好人没有区别的坏蛋。更有甚者,如果用户下载根证书的过程被拦截、篡改,那用户就会毫无戒心地装上黑客伪造的根证书,然后进一步被劫持网银等其它网站的安全连接。

【对用户建议】用户应在安全的网络下载安装12306.cn的根证书,千万不要习惯性忽略安全警告。

同时呼吁12306.cn从有资质的安全证书机构申请证书。

========夹带私货========

加密连接(https)的代价:http://www.guokr.com/question/588002/

12306的安全漏洞和黑客利用方法:http://www.guokr.com/blog/798770/


6 1

之前的“泄漏”是拿了若干个其他网站的 泄漏 信息,撞12306的数据库撞出来的。不是泄出来的。

就是你在A站 B站同时申请了账号密码,而且你懒,账号密码相同。

现在A站泄漏了,别人拿到你A站的账号密码,去试B站,结果tmd进去的。然后告诉你B站泄漏了。

其实不是B站泄漏了。

既然不是B站泄漏导致你的造成了损失,你说该他赔么? 所以要妥善保管自己密码

就算他泄的,现在法律不健全,你也没有武器可以维护自己利益

说不定360掌握你的信息更全面呢

5 3

我能说,中国很多有官方背景的网站自建根证书,是故意的么?

首先大家得明白一个概念——证书是干什么用的?一般来讲,SSL证书有两个作用,一是防窃听,二是防篡改。

防窃听比较好理解,我传输密码等信息的时候,公司网管也不应该看见,这种级别的应用,自建根证书就可以胜任了。

但防篡改就比较复杂了。网站发给你一个页面,你怎么知道是这个网站发出的,而不是其它什么别有用心的人呢?万一是个钓鱼页面怎么办呢?Duang……这时证书又出场了。证书的发行者(比如VeriSign),对网站验明身份以后发给他一张证书,用这张证书加密传输的页面可以保证来自这个网站,所以只要证书没问题,就肯定没被篡改,证书如果有问题,浏览器就会提醒你。

注意,防篡改的问题关键不在证书,而在发行者。你之所以信任证书,是因为你信任证书的发行者会帮你验证网站的身份。所以证书的效力与发行者的信誉有关,这也是为什么VeriSign等大牌证书会比较贵,而WoSign等小牌证书比较便宜。

浏览器通常会内置一些根证书,都是浏览器厂商验证过的,值得信任的证书发行者。但如果你把12306也设为受信任的根证书,那就意味着有一个不用遵守行规的证书发行者潜伏在了你的系统中,它可以根据需要肆意发假证书,以后你在证书里看到的公司信息,就不一定是真的了。

换句话说,如果你是一个恐怖分子,并且把12306设为受信任的根证书,理论上你有可能访问到假的Gmail,从而被国安部门套取联络资料,这就是传说中的“中间人攻击”。

2015-4-2消息:CNNIC因为伪造Google的证书,被Google从受信任的根证书中除名了。为什么要伪造Google证书呢?因为那些受监控的人要用Gmail。

那些投反对票的,你还没醒悟么?

0 0

渚熏软件工程师,网路安全从业者

2015-01-21 11:50

【南北车停牌前高管互买股票 北车董事长坚称“无内幕交易”】

看看就知道是股份交易方面的事情和网站泄密有毛关系啊。

1 3
支持者: 初春

法律上怎么说的是一回事,就目前情况,你可以看一下储户的钱被银行偷了,银行是怎么赔的。

查看更多

添加回答

登录 后回答问题,你也可以用以下帐号直接登录

相关问答

关于我们 加入果壳 媒体报道 帮助中心 果壳活动 家长监控 免责声明 联系我们 移动版 移动应用

©果壳网    京ICP证100430号    京网文[2018] 6282-492号    新出发京零字东150005号     京公网安备11010502007133号

违法和不良信息举报邮箱:jubao@guokr.com    举报电话:18612934101    网上有害信息举报专区    儿童色情信息举报专区