iLnkP2P漏洞影响了200万个IoT设备(2)

2.关于ID组成结构,这是iLnkP2P的节点设计方式,iLnkP2P利用唯一ID来支持全球服务,ID的基本要求就是同一套p2p平台上ID的唯一性,如同电话公司的电话号码。iLnkP2P可以像其它p2p平台一样使用一串无意义的字串来作为ID,只要保证唯一性,这并不是什么技术问题。iLnkP2P之所以提供“前缀+序列号+验证码”的ID结构,正是通过前缀表示产品公司或产品公司的产品类型,6位序列号为什么不提供更长的位数,这是主动限制单套服务器对一个ID前缀的支持数量,它与安全没有什么关系,最后的验证码,是用于ID合法性验证,这是保护我们公司利益的一个举措而已,验证码失密,是我们收不到License费用,与产品安全不是一码事。产品公司对ID的管理不善,会导致ID复用,就象电话串号,这个我们增加了一些措施来配合减少这种情况的发生,上面说了iLnkP2P也是一直在改进和发展中,在后面的版本里,我们增加了伪码用于设备本地验证,以避免ID被盗用,但这也仅是帮助客户提升每产品的唯一性,实际的效果,仍需产品公司管理好ID的使用。

3.关于中间人攻击,这里的情况即简单也复杂,本身p2p是利用当前tcp/ip协议的漏洞来实现穿透达成通信目标,其合法性类似于路由器使用VPN\NAT\UPNP等,产品应用了组件为接受使用这种技术,iLnkP2P并不提供非合法应用于其它任意目的,这也是使用显式ID的原因之一。对于中间人攻击,读者需要一点网络安全知识,简单地说中间人攻击是:在两个通信节点中,有人插入会话,接管通信。p2p并不是任何场景下能够实现穿透的,这时为达成通信,我们需要一个中间人,这也是我们提供的套件有转发服务器或节点库有转发功能的原因之一,但因转发节点任需验证节点的合法性,那么在形式上它是中间人,但它不是中间人攻击,而是我们iLnkP2P的正常功能之一。

4.“数百万台设备暴露里入侵危险之中”,使用iLnkP2P如此巨量的情况下,产品公司并未因此发生客户基于安全问题的投诉和卷入安全讼诉

之中,文中无任何实例或具体安全问题演示,而直接将客户名称列出来,有些网站建议用户不要购买此ID样式之产品,用意极其明显,对于我们来说,作为iLnkP2P的开发者,将ID变换种形式,这有什么难度呢?这样做,说明了什么?

热心的朋友找到了文章的源头,作为一家小公司,我们无力卷入这种无用的扯皮中,我们只能感叹,随意发布含糊其辞会给当事公司或当事人造成多大伤害的成本太低了。反过来,我们也很骄傲,作为一家深圳小到几人的公司,所提供的产品引起如此巨烈的影响。

产品公司都知道,对于硬软件合一的产品形态,国外公司总是要求说明包含的软件是否引用了其它开源或商业软件,我们曾经为此非常骄傲地回应,我们的iLnkP2P每一行代码都是原创。因中国一直处在高科技尤其是IT产业的下游,我们的生存实属不易,请支持原创。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/32e95c6991075a69dc187bc6e0f7c20c.html