【翻墙问答】Chrome扩充功能主动通报密码外泄应即处理

2019-02-08
电邮
评论
Share
打印

问︰翻墙问答之前介绍过,Firefox有功能可以让你查询一个资料库,看看你的帐户是否曾经有密码外泄的情况。但谷歌现于Chrome提供的扩充功能,似乎更加厉害,能否对听众介绍一下。

李建军︰这次谷歌在Chrome推出一个与史坦福大学合作的扩充功能,这项扩充功能叫Password Checkup,只要在扩充功能商店找Password Checkup,就可以很容易安装到你的Chrome浏览器之上。

一旦你在Chrome上登入帐户,Password Checkup会立即与中央资料库,核对他们有的帐户外泄纪录。如果出现过密码外泄,与中央资料库纪录相脗合的情况,Chrome的扩充功能会主动通报,提醒你更改密码以策安全,或者将相关帐户或信用卡取消。这项功能由于是主动通报,所以不用定时定候检查一下自己的帐户有否密码外泄,因为一旦出现外泄的情况,并且在中央资料库上出现,就会主动通报你。

当然,当扩充功能通报你相关问题时,很可能你的密码已经泄漏了几个月,所以你必须在收到通报后立即采取行动,最低限度是改密码,但如果涉及信用卡资料泄漏,你最好查看过去半年的信用卡有否可疑交易,然后尽快向银行要求改信用卡,或取消信用卡。

问︰中国的黑客近年在入侵不同主机上,都无所不用其极,对于一些可能自建翻墙主机,或在海外建立博客的听众,有些中国的开源项目或程式库,可能十分危险,甚至有如在自己的主机上加上「后门」都不自知。

李建军︰虽然中国主导的开源项目不多,但个别开源项目管理不当,变成病毒和黑客温床,都足以为很多人造成困扰。以中国用户主导的Thinkphp项目为例,由于当中的漏洞被黑客发展成Speakup的木马程式,这个程式不单滥用受感染的主机作挖矿之用,而且由于设计复杂,难以侦测,所以这个漏洞会变成被人用于偷资料,甚至更恐怖的用途之上。对于一般黑客,他们很可能满足于能挖矿,但对于受当局控制的黑客,他们不单要挖矿,更可能另有目标和任务。

因此,在选择开源项目上,不要使用一些过于集中中国开发者的开源项目,一方面,内里的人马兵贼难分;另一方面,中国程式编写员一些坏习惯,亦是一些病毒或木马的元凶,这些坏习惯影响下写的程式码,在西方国家编写员为主导的项目,很快会被其他国家的参与者修改,但在中国人为主的项目,就很大机会大家都视而不见,甚至有部分人故意保留相关漏洞,最终演变成大规模感染。而这些感染,不单影响中国的主机,亦会影响南美洲的主机,随著中国在一带一路国家的积极参与,相信一带一路沿线国家的主机,都会或多或少受到类似问题所影响。

开源项目,是肯定比起只靠个别公司所支撑的项目安全,而开源项目参与者必须来自不同国家,而且必须活跃的参与人数十分多,才能称得上安全可靠。而Thinkphp变成了一个麻烦的病毒温床,某程度提醒听众,只有真正国际化的开源项目,才会是安全可靠的保证,开放源码本身都要良好的人和环境去实现。

完整网站