CNET科技资讯网4月15日国际报道 由于善意黑客对报告缺陷感到担忧,网络应用软件中的安全缺陷可能无法得到修复。
Web应用软件使安全研究人员陷入了进退二难的困境中:如何在不被监禁的情况下测试软件安全?如果要研究Windows或Word等传统应用软件的安全,黑客可以在自己的PC上进行这项工作。
对于Web应用软件而言,情况就不是这样了,测试Web应用软件的安全性可能是非法的,而且会受到起诉。纽约布鲁克林法学院研究互联网法律的助教温迪表示,对在其他人的系统上运行的应用软件进行测试存在更大的法律危险,这也是这种新的应用软件模式面临的真正挑战。
由于面临这种法律风险,善意的黑客不愿意审核Web应用软件的安全性。这意味着网络应用软件不会受到与传统软件相当的检查,严重的安全缺陷可能会留下来被恶意黑客肆无忌惮地利用。
WhiteHat Security技术总监耶利米说,我们会失去善意的黑客。如果发现Web网站中的缺陷是非法的,这意味着只有恶意黑客知道缺陷所在,这是我们在进入Web 2.0时在信息安全方面面临的一大问题。
SPI Dynamics技术总监卡尔伯同意这一观点:这一法律威胁将使Web应用软件更不安全。如果缺陷没有被发现,并得到修正,恶意黑客就会发现这些缺陷,因为他们不在乎这些。这会使得Web应用软件更不安全。
由于超越了Web网站的界限,Web 2.0引起了人们的关注。但是,随着站点增加更多的新功能,提供与桌面软件相似的体验,安全风险也提高了。对于安全研究人员而言,发现软件中的缺陷是法律方面的一个灰色领域。
当对安装在PC上的应用软件进行反向工程时,安全研究人员可能就触犯了法律。但是,牛津大学互联网学院互联网监管方面的教授乔纳森说,但在Web网站方面,法律是极其清晰的。
他表示,美国和其它国家的法律都将对计算机系统的非授权使用认定是一种犯罪行为,其中包括“超过授权的使用”,而披露Web应用软件中的缺陷就属于“超过授权的使用”。
原告可以根据数种法律起诉研究互联网应用软件安全的安全研究人员,但《计算机欺诈和滥用法案》是一部主要法律。对于没有获得授权而故意使用一台受保护的计算机,并造成损失的,被告可能会被罚款或处以最高为一年的有期徒刑。