15 February 2007
携程的安全
Posted by 研究 under: 歪干 .
前天在携程订了张回来的机票,提交信用卡信息时,Firefox弹出一个框:你提交的信息未经加密,可能有泄露的危险,是否继续?我这才注意到这个表单采用的是HTTP协议,而不是HTTPS,但是求票心切,还是点了是。
我虽然不是搞网络安全的,但我总觉得这是个安全隐患,只要在我的电脑和携程之间的任何一个节点安装一个简单的抓包工具,我的信用卡以及身份信息就一览无余 了。于是就给携程的客服打了个电话,结果一如意料之中的是对牛弹琴,他们的客服小姐很耐心的跟我解释了银行如何保障客户帐户的安全,我说:“这跟银行没关 系,是你们的系统有可能造成客户资料泄露,当然泄露不一定会造成经济损失,即使造成了,银行也可能可以帮客户追讨回来,但这就好比你把钱包在众人面前晃一 样,你不一定被偷,被偷了警察也有可能可以帮你找回来,但最好还是不要让小偷知道你的钱包放在哪里,而你们的系统其实就是将客户的钱包暴露在了小偷的眼 前,所以,很明显,即使有警察,你们也有责任保障用户的钱包位置不被小偷知道。“但是他们的客服很明显没听懂我在说什么,她拒绝了我将这个建议转达给他们 的开发人员的要求,我只能很无奈的挂了电话。
不过,银行通过交易记录追踪罪犯确实比警察大海捞针般的找小偷要容易些,所以,他们的客服说的”我们还从来没有发生过一起客户资金被窃事件“也有可能是真 的,我可能多少有些杞人忧天,但是不管怎么说,敏感信息都是应该使用HTTPS进行加密的,因为一旦泄密就存在被滥用的风险。