最近几个星期,WordPress连续发布了几个Security Patch的release,速度之快是让人惊讶的,我因为机会天天上来写blog,且对于安装升级比较熟悉,当然碰到关于安全的升级,就立刻按照标准方法备份数据库之后直接自动升级了,但很多人是别人安装的程序,自己只是个使用者,或者自己安装了,也不怎么熟悉,这样在这些比较严重的安全bug暴露之后没有升级,那么这些博客的安全就非常让人担忧了。我个人建议Wordpress应该在程序里建立更加强硬的机制来提醒甚至强制用户对自己的程序升级以达到能够保证自己安全的问题。
这次的WordPress 2.8.4: Security Release 版本就是个很好的例子,Admin的密码能够被强制重置对一个博主的冲击非常巨大,尤其是利用博客做了很多关于个人推广,产品,科研等信息发布等的就更是损失惨重了,希望能够通过的安全漏洞的分级,然后在WordPress里根据分级建立一定的预警机制和强制升级机制,让用户在使用的时候能够最低限度的知道如果不升级会有什么后果,或者强制用户必须对某些能够造成严重损失的漏洞进行升级才能够正常地使用博客等方式。
不过也许强制升级对很多人来说是侵犯了别人的自由,而且判断强制与否的标准技术上也很难界定,所以采用非强迫方式的警告也不错。这种方式对于自行修改的人来说就没什么用处,因为自行修改bug并不等于版本的升级,所以如果只是从版本判断还无法知道这些bug是否被修正,而去进行代码判断是否bug修正又太复杂。所以在提醒信息的底部应该给一个“忽略”的按钮,可以让用户自己选择是否继续让这个警告的信息出现在后台。
现在Web的程序的漏洞真的很多,有些是代码的质量的问题,有些是数据库的SQL的判断的问题,有些是WEB本身的支撑的环境的问题,不管什么问题,我们都要及时关注这些安全patch的发布和及时的了解他们然后打上补丁,这个过程一直会继续下去,呵呵,Anti-Hack的斗争永远不会停止。
文章评论