漏洞是通过‘密道’通知好还是直接曝光好

【乱】

和大家讨论 360曝光搜狗行为，一些人说 不应该通过通道沟通而是直接曝光让用户提高警惕；这种说法或许有些人会同意但我个人觉的荒唐至极。（声明本人没用任何搜狗搜狐产品）

漏洞是通过平台秘密解决还是公开让天下黑爪们知道才叫对用户负责？

我可以拿一个众所周知，也稍微有点权威性和名气的乌云漏洞提交平台（wooyun）吧：http://www.wooyun.org/

乌云漏洞平台每天都能看到各种隐私泄漏，安全逻辑问题；漏洞提交时是信息是封闭的。存在一些专门没事找漏洞提交厂商的

无论是作为大企业 ，腾讯百度阿里 还是作为安全技术商 金山 360 瑞星都会被发现漏洞问题甚至严重的敏感信息外泄问题

比如说360吧（不针对 大家可以搜索腾讯百度搜狗都差不多）：http://www.wooyun.org/searchbug. ... %E8%A7%88%E5%99%A8+

http://www.wooyun.org/bugs/wooyun-2010-018024

比如搜索到360浏览器和商店 串号问题（厂商确认问题低）


该问题从曝光到厂商确认和处理都需要事件；和一个过程，难道一有漏洞就对几亿用户弹窗宣传威胁吗？或许你可以丢个马甲水军类的 进行曝光和放大一些软件漏洞；然而说没办法 因为漏洞已经变公开了~~~

还有个例子，当年360和金山的隐私论战当中曾经有360对媒体有这么一句话

360的谭晓生表示：“作为安全厂商，在发现技术漏洞后，负责任的作法是承认自己的不足，并尽快采取措施堵住漏洞，切实保障用户利益，而不是公开散布网民隐私，捏造谣言制造恐慌，以此来打击竞争对手。”谭晓生表示：“360发现金山的问题后，马上通报给了金山公司，敦促他们尽快解决，而不是像对方那样故意歪曲，大肆炒作。据我们观察，目前金山已堵住了部分漏洞，在各大搜索引擎上也正在紧急清理。”

这还是安全商和安全商之间的；所以以上信息，某些个别粉说什么公开和高度宣传漏洞才是对用户负责 才是砸自己的脚这跟那啥‘法兰西不靠谱’的愤怒攻击言辞毫无关联；还好你不能代表官方
或许360这次行为也算砸了自己脚了。
按照直接公开才算好的话，那CSDN泄密事件，那泄密者真心太无辜了，明明是为了用户提高警惕 囧

搜狗事件
搜狗问题是否存在隐私问题，还是被放大 这个本人不做任何不负责言论；但个人观点属于两家企业明显的近期竞争关系，加之360在举报漏洞时并不符合一些企业间的正规流程，而是在短短的1~2小时就已经拟好公告准备好视频甚至进行弹窗也耐人寻味；其实我个人认为与其说为了用户安全 其实就是企业间的互相攻击
搜狗否认漏洞，是真没有还是不负责还是迫于竞争环境？

个人对搜狗事件评价：http://bbs.kafan.cn/thread-1648964-1-1.html
王小川：已向工信部反映：http://tech.ifeng.com/internet/detail_2013_11/07/31055438_0.shtml
搜狗浏览器安全隐患”事态发酵却雾里看花 专家呼吁完善第三方披露机制：http://jingji.cntv.cn/2013/11/06/ARTI1383730664159428.shtml

工信部、国家互联网应急中心正在调查搜狗安全事故：http://news.xinhuanet.com/overseas/2013-11/08/c_125672691.htm（无视乌云那段话，根据在个人评价里）

daojianwuhen

真是什么毁三观的话都敢说的出嘴，楼主你前脚还在说没有漏洞，现在遮不住了就来这个，双重标准不要太明显啊

22667999

关键是搜狗不承认自己有漏洞。

既然搜狗觉得没漏洞，公开漏洞细节也无妨。

血色

被曝光就说要通过渠道，曝光别人就直接各种弹窗导航新闻。双重标准阿双重标准。

血魔鸳薏

开始就死不承认漏洞并企图转移视线抹黑360，最后实在是躲不过去了又开始指责360
不通知厂商就擅自公布漏洞，搜狗的公关真是不错，就是不能直接承认漏洞，就是要往360身上泼脏水来自: Android客户端

6264058

楼主这么给你说吧，提交到乌云的话，按目前的情况来看“漏洞状态"很可能为“厂商已忽略”，然后就是某狗修复漏洞，然后就没有然后了。

但是这次的漏洞经造成严重的敏感信息泄露了，必须有一方站出来告知用户尽快修改密码，（这么长时间不知道多少黑客已经拿到完整的数据了，话说你修补了漏洞对于已经泄露出去的用户有用吗？）所以这次数字做的还是对的。

imetoo

楼主对于搜狗问题你除了扯360还能有点创新扯淡方法吗

怎么样了

楼主的帖子与微博上反360的几个账号手法极其相似 , 就是摆出无数个链接来虚张声势,  无非是给自己壮胆!

要说你不是尽职尽责还真是委屈了你 ,  法兰西的日子未必好过!

软件有漏洞并不奇怪,   但是,  上千个有关网银和淘宝的账号被泄露,  用偷偷摸摸的手法暗自修复而至已被泄露的用户财产安全于不顾!    如此为了虚伪的面子而掩盖滔天之大过 , 这招数是在法兰西学会的吗 ?

怎么样了

有关网银账号的泄露问题必须要公开报告,  不管是哪家的产品都应该如此!  

如果是偷偷摸摸的修复, 等于是毁尸灭迹, 一旦出现用户财产被盗取,  根本无从追责,  

这是极其无耻卑鄙的行为!


好像在帖子中用一句（声明本人没用任何搜狗搜狐产品）,  就能够理直气壮的将自己摆在一个公正客观的位置上,   何必呢 ?   不觉得累吗

本人在卡饭的每一个帖子都是用搜狗输入法打出来的 ,  腾讯QQ,微信 , 百度搜索地图云盘,金山词霸WPS都在用,  这才叫客观!

秋水西风落雁

哈哈，笑死我了！！

怎么能这样子呢！！