美国政府指控记者“F12”漏洞披露违法,涉嫌黑客行为引发争议
这个说法并不准确,至少不完全正确。让我为您澄清一下:
1. "按“F12”本身不违法":在绝大多数情况下,仅仅按下键盘上的“F12”键本身是没有任何法律后果的。这个键通常用于触发浏览器的开发者工具(Developer Tools),或者在某些程序中有其他功能(如保存为网页)。按这个键并不会直接触犯法律。
2. "“F12”与发现漏洞的关系":当记者(或任何人)在浏览网站时按下“F12”,他们可能会打开浏览器的开发者工具。通过这些工具,他们可以检查网页的源代码、网络请求、JavaScript 日志等。"正是通过这种探索性的检查,他们才可能发现网站或应用程序中的安全漏洞"(例如,跨站脚本漏洞 XSS、不安全的配置、敏感信息泄露等)。
3. "发现漏洞是合法行为,甚至受鼓励":发现软件或系统漏洞本身是一种合法行为,甚至受到许多国家和地区的法律保护。许多国家都有“漏洞赏金计划”(Bug Bounty Programs),鼓励安全研究人员(包括记者)负责任地向软件发布者报告漏洞,以便他们修复,从而提高整体安全性。负责任的披露(Responsible Disclosure)是行业最佳实践。
4. "起诉记者的原因(如果发生的话)":如果美国政府或任何公司起诉发现漏洞的记者,"起因绝不是按下“F12”这个动作本身"
相关阅读延伸:美国政府认为按“F12”违法,属于黑客行为,起诉发现漏洞的记者
F12是一个神奇的按键,有些网站把键盘默认禁用了,无法复制网站的内容,有些网站老是弹窗要求注册,这些都可以使用F12解决。对于开发人员来说,F12更是一个神器。使用F12本来是再正常不过的操作,然而近日美国密苏里州发生了一件令人啼笑皆非的事情,一名记者使用F12发现了一个网站的漏洞,并提交给维护该网站的政府教育部门,结果被起诉,指控其黑客行为。根据 Ars Technica 的报道,《圣路易斯邮报》的一名记者在密苏里州中小学教育部维护的网站,查询教师资格证书的时候,一时心血来潮,按下F12查看网站的html源代码,结果意外发现了一个会暴露教师和其他学校员工的社会安全号码(SSN)的安全漏洞。这个网站允许用户查看密苏里教师的证书,只需要输入姓氏和社会安全号码的后四位数字,就能查询到对应老师的证书。然而因为这个安全漏洞,查询者可以轻易在html源代码中查看到完整的社会安全号码。根据密苏里州的法律,社会安全号码是严禁公开和披露的。让人大跌眼镜的是,当记者把这一漏洞,反馈给负责维护的教育部门,且承诺在修复漏洞期间,不会将漏洞公开后,竟然遭到了密苏里州政府的起诉。首先,他们关闭了网站的访问权限,然后召开记者发布会,表示将起诉发现漏洞的记者。州长放下狠话:“该记者企图让国家难堪并为新闻不择手段他还说道,政府不会成为新闻媒体的棋子。政府会通过法律制裁任何一个入侵我们系统的人,追究所有帮助这个人的其他人和雇佣他们的媒体公司的责任。”因为帮助记者验证漏洞,密苏里大学圣路易斯分校的网络安全教授Shaji Khan也遭受到了调查。该事件一经发生,国外网友纷纷吐槽,有的人说:“真正的黑客从来不用F12,而是用Ctrl+Shift+i。”也有人调侃道“如果你用的是Windows,按下cmd-u或者ctrl-u,恭喜你,你现在已经是一名精英犯罪黑客了。”这已经不是美国政客们闹出第一个关于IT领域的笑话。早在2018年,脸书隐私门事件中,扎克伯格出席美国参众两院听证会时,参议院们的提问就暴露出他们对IT的无知。比如参议员奥瑞恩·哈奇向扎克伯格提问“脸书不是免费的吗?你们怎么赚钱”等等。有的参议员还提出了许多自认为很有建设性的建议,比如用户能不能把自己的数据从脸书转移到别的平台等等,结果脸书早就这么做了。网页安全真的不分国界,美国如此,中国的一些开发者也是如此。手机号、密码、账号等数据应该保存在数据库中,而有的“开发者”不知道是水平有限,还是图省事,亦或是甲方尾款没到账,直接将这些敏感数据写在html代码中。曾经就有开发者做过很奇葩的事情,他直接将用户账号和密码写在html代码里,然后再判断用户数据的账号密码,是否与代码中的一样,以此来校验密码是否正确。对于密苏里州州长的行为,真的特别想送他一本《HTML CSS JavaScript网页制作 从入门到精通》。
1