【翻墙问答】Chrome扩充功能主动通报密码外泄应即处理

问︰翻墙问答之前介绍过，Firefox有功能可以让你查询一个资料库，看看你的帐户是否曾经有密码外泄的情况。但谷歌现于Chrome提供的扩充功能，似乎更加厉害，能否对听众介绍一下。

李建军︰这次谷歌在Chrome推出一个与史坦福大学合作的扩充功能，这项扩充功能叫Password Checkup，只要在扩充功能商店找Password Checkup，就可以很容易安装到你的Chrome浏览器之上。

一旦你在Chrome上登入帐户，Password Checkup会立即与中央资料库，核对他们有的帐户外泄纪录。如果出现过密码外泄，与中央资料库纪录相脗合的情况，Chrome的扩充功能会主动通报，提醒你更改密码以策安全，或者将相关帐户或信用卡取消。这项功能由于是主动通报，所以不用定时定候检查一下自己的帐户有否密码外泄，因为一旦出现外泄的情况，并且在中央资料库上出现，就会主动通报你。

当然，当扩充功能通报你相关问题时，很可能你的密码已经泄漏了几个月，所以你必须在收到通报后立即采取行动，最低限度是改密码，但如果涉及信用卡资料泄漏，你最好查看过去半年的信用卡有否可疑交易，然后尽快向银行要求改信用卡，或取消信用卡。

问︰中国的黑客近年在入侵不同主机上，都无所不用其极，对于一些可能自建翻墙主机，或在海外建立博客的听众，有些中国的开源项目或程式库，可能十分危险，甚至有如在自己的主机上加上「后门」都不自知。

李建军︰虽然中国主导的开源项目不多，但个别开源项目管理不当，变成病毒和黑客温床，都足以为很多人造成困扰。以中国用户主导的Thinkphp项目为例，由于当中的漏洞被黑客发展成Speakup的木马程式，这个程式不单滥用受感染的主机作挖矿之用，而且由于设计复杂，难以侦测，所以这个漏洞会变成被人用于偷资料，甚至更恐怖的用途之上。对于一般黑客，他们很可能满足于能挖矿，但对于受当局控制的黑客，他们不单要挖矿，更可能另有目标和任务。

因此，在选择开源项目上，不要使用一些过于集中中国开发者的开源项目，一方面，内里的人马兵贼难分；另一方面，中国程式编写员一些坏习惯，亦是一些病毒或木马的元凶，这些坏习惯影响下写的程式码，在西方国家编写员为主导的项目，很快会被其他国家的参与者修改，但在中国人为主的项目，就很大机会大家都视而不见，甚至有部分人故意保留相关漏洞，最终演变成大规模感染。而这些感染，不单影响中国的主机，亦会影响南美洲的主机，随著中国在一带一路国家的积极参与，相信一带一路沿线国家的主机，都会或多或少受到类似问题所影响。

开源项目，是肯定比起只靠个别公司所支撑的项目安全，而开源项目参与者必须来自不同国家，而且必须活跃的参与人数十分多，才能称得上安全可靠。而Thinkphp变成了一个麻烦的病毒温床，某程度提醒听众，只有真正国际化的开源项目，才会是安全可靠的保证，开放源码本身都要良好的人和环境去实现。