你還敢用開源的CMS系統(tǒng)嗎?
今天看到《軟件世界》中關(guān)于開源的文章,講到開源一個好處:對于開源軟件而言,每天都有人在看源代碼,隨時都可以發(fā)現(xiàn)問題,隨時報告,有能力的就自己把安全問題修復了,然后發(fā)布出來給大家分享。然而我對此始終感到有些不對勁,卻一時又不知道到底哪里不對勁。聯(lián)想起最近鬧得滿城風雨的動易安全漏洞事件,忽然想到,這個“好處”對于使用開源CMS的網(wǎng)站來說,可能是一個最美麗的謊言和最大的惡夢!
對于一般的只是個人在自己電腦上使用的軟件(比如輸入法、小工具),開源的這個好處應該是很明顯、很正確的。但CMS與其他軟件產(chǎn)品不同,它是網(wǎng)站的運營基礎,它不僅僅是站長在使用,還接受著各種各樣的人群的訪問,這里除了正常的訪問外,每天還有大量的惡意訪問。如果CMS是開源的,則研究源代碼的除了用戶和愛好者以外,還有另一類人——“黑客”。現(xiàn)在的黑客很少有純粹只是為了研究技術(shù)的,特別是尋找CMS這樣的應用系統(tǒng)的漏洞的黑客,根本就沒有太多的技術(shù)和道德可言。他們研究CMS的漏洞只有一個動機,那就商業(yè)利益。近年來,大家發(fā)現(xiàn)自己的網(wǎng)站被黑后,黑客好像并不刪除數(shù)據(jù),一般都只是加一個iFrame之類的病毒頁的調(diào)用,為什么呢?因為黑掉一個網(wǎng)站的利益很小,而將網(wǎng)站加上惡意代碼,讓訪問網(wǎng)站的人中病毒或木馬利益則非常大。通過“黑”掉一個網(wǎng)站,讓成千上萬的用戶中毒,最后形成龐大的“僵尸網(wǎng)絡”,以達到更大的利益。
對于絕大部分的用戶來說,并不具備修改代碼的能力,這樣的話,開源的CMS系統(tǒng)對他來說,與閉源并無二異。但對黑客來說,研究開源系統(tǒng)中的漏洞要比研究閉源系統(tǒng)中的漏洞容易得多。對于開源的系統(tǒng),黑客可以通過閱讀源代碼直接尋找漏洞;而對閉源的CMS系統(tǒng),則黑客只能進行暗箱測試來尋找漏洞,這樣的難度要比在源代碼中找漏洞難得多。所以,從這個角度來說,同一個系統(tǒng)不開放源代碼要比開放源代碼相對安全得多。
另一方面,CMS的開發(fā)商還沒有誰敢保證自己的系統(tǒng)沒有任何安全漏洞。因為“千里之堤,毀于蟻穴”,開發(fā)商要開發(fā)出比較安全的系統(tǒng),需要付出極大的努力,但仍可能會因為百密一疏,只要一個地方?jīng)]有注意,就有可能讓黑客找到漏洞。而黑客只要找到一個漏洞,即可讓開發(fā)商辛苦建立的安全防線崩潰。一個是寫代碼,要做各種防護手段,一個是研究代碼,只需找到一個漏洞即可,開發(fā)商和黑客之間的較量,永遠會是黑客占盡上風!
動易一直將安全問題列為公司的重中之重,在安全方面投入了大量的人力物力,反復對代碼檢查了多遍,可以自豪的說在同類軟件中絕對是最安全的。但即使在已經(jīng)發(fā)布了自認為最安全的SP5后,還是因為IIS的一個漏洞讓動易出現(xiàn)了最嚴重的安全漏洞,實在是讓我們感概不已??赡苁菢浯笳酗L吧,現(xiàn)在動易是國內(nèi)市場占用率最高的CMS系統(tǒng),使用動易的網(wǎng)站超過了20萬,同時也引起了許多黑客的興趣,他們以尋找動易的漏洞為榮(或者是出于利益需求),在找到漏洞后并不公布,而是用來黑掉一個個站點,在網(wǎng)頁上加上木馬代碼。我們則只能一遍又一遍的檢查代碼,甚至反向思維從黑客的角度來查找動易的漏洞,直到今天,我們已經(jīng)修復了所有已經(jīng)發(fā)現(xiàn)的漏洞,但我們不敢保證系統(tǒng)中就沒有漏洞了。我們與黑客之間的斗爭將一直繼續(xù),直到……
總結(jié):開源,永遠是把雙刃劍!無論是對開發(fā)商還是最終用戶。
現(xiàn)在,你還敢用開源的CMS系統(tǒng)嗎?
用戶登錄
還沒有賬號?
立即注冊