通信人家园

标题: 阿里云就不该发现那个漏洞  [查看完整版帖子] [打印本页]
时间:  2021-12-23 11:12
作者: piview     标题: 阿里云就不该发现那个漏洞

    这样可以安安静静,稳稳当当的混日子,也不会惹来那么多“爱G青年”,“吹S人”来说风凉话。
时间:  2021-12-23 11:23
作者: ZJ111743

国家利益高于一切
时间:  2021-12-23 11:24
作者: xnwzp

挨打就立正,错了就是错了,也没否认阿里的成就,立场错了还不抨击,那才是真想阿里si
时间:  2021-12-23 11:32
作者: huangl23

这些大佬在你不需要需帮助时候给你来一个雪中送炭,在你需要帮助的时候给你一记釜底抽薪
时间:  2021-12-23 11:38
作者: cnqq9999

思想有问题
时间:  2021-12-23 12:06
作者: 莫名卡

莫名其妙啊,阿里这件事情做得铁定有问题。
漏洞11.19号就报给apache了,你知道apache会不会给中情局回报?国内这么多使用java的(看看招聘网站上对java的招聘信息就知道。)公司,apache在12.9才公布。这半个月时间,中情局会不会用来破坏/窃取国内的机密,如果造成重大损失,阿里说是汉奸都不为过。
时间:  2021-12-23 12:22
作者: founderate

你直接说阿里不要存在更好
时间:  2021-12-23 12:44
作者: 旁观世界

确实
这个组件很多公司都在用,都没发现
阿里发现了,挨起了
时间:  2021-12-23 12:47
作者: 云中云

提示: 作者被禁止或删除 内容自动屏蔽
时间:  2021-12-23 13:02
作者: ttcha

莫名卡 发表于 2021-12-23 12:06
莫名其妙啊,阿里这件事情做得铁定有问题。
漏洞11.19号就报给apache了,你知道apache会不会给中情局回报? ...

你怎么知道阿里没有通报工信部?
时间:  2021-12-23 13:02
作者: tsungli

看看今天新闻,伊朗已经漏洞攻击以色列了,半个月够美国做太多事了
时间:  2021-12-23 13:03
作者: tsungli

ttcha 发表于 2021-12-23 13:02
你怎么知道阿里没有通报工信部?

六个月不就是因为没及时通知罚的么
时间:  2021-12-23 13:18
作者: ttcha

tsungli 发表于 2021-12-23 13:03
六个月不就是因为没及时通知罚的么

漏洞发现者一开始就在微博上说,他们团队要遵守国家法律。反而是外网一直在报道说,有人利用该漏洞攻击外国政府
时间:  2021-12-23 13:52
作者: oooooooo

ttcha 发表于 2021-12-23 13:02
你怎么知道阿里没有通报工信部?

你往好处想可以理解,但不管有没有都不应该这么说。有的话你这是泄露机密,没有的话就是洗白。
时间:  2021-12-23 13:55
作者: hsgq

亡羊补牢,为时未晚。事情已经发生了,能救多少是多少吧
时间:  2021-12-23 13:57
作者: 莫名卡

ttcha 发表于 2021-12-23 13:02
你怎么知道阿里没有通报工信部?

工信部的通报啊,是从公开信息得知的,也就是阿里根本没有通报。
时间:  2021-12-23 14:05
作者: passer2021

到底是支持阿里?还是只是反对爱国?
时间:  2021-12-23 15:08
作者: 为别人打工的人

楼主思想有问题
时间:  2021-12-23 15:24
作者: xuqz

有意为之,就是坏了
时间:  2021-12-23 15:25
作者: xuqz

为别人打工的人 发表于 2021-12-23 15:08
楼主思想有问题

楼主不是人,思想没有问题
时间:  2021-12-23 15:29
作者: yz98061

一般都是谁的项目找谁修漏洞,提前报给gxb唯一的用处是通知全国暂时不用这玩意,还有就是利用这个漏洞先攻击别人爽一爽
时间:  2021-12-23 15:31
作者: oooooooo

yz98061 发表于 2021-12-23 15:29
一般都是谁的项目找谁修漏洞,提前报给gxb唯一的用处是通知全国暂时不用这玩意,还有就是利用这个漏洞先攻击 ...

最大的用处是避免被别人先知道了攻击我们
时间:  2021-12-23 15:34
作者: gzljp

不讲政治啊
时间:  2021-12-23 15:42
作者: bbsabc2008

本帖最后由 bbsabc2008 于 2021-12-23 15:44 编辑

听说最近腾讯也发现了一个苹果的漏洞,涉及M1和A14的产品,5秒钟就可以取得ROOT权限,是不是都是故意的啊???
时间:  2021-12-23 15:46
作者: yz98061

oooooooo 发表于 2021-12-23 15:31
最大的用处是避免被别人先知道了攻击我们

其实说不定别人早知道了,而且只要不报给项目开发者,补丁哪里来?无论晚报给开发者多久,期间只能先暂时不用,我觉得上面那么生气的更重要原因是少了一个拿这个打别人的机会,毕竟情报方面嘛谁都没那么道德,有一个难得的打别人的机会被浪费了
时间:  2021-12-23 15:47
作者: yz98061

bbsabc2008 发表于 2021-12-23 15:42
听说最近腾讯也发现了一个苹果的漏洞,涉及M1和A14的产品,5秒钟就可以取得ROOT权限,是不是都是故意的啊? ...

越狱不是一直有团队在干吗,腾讯干的就牛逼了?
时间:  2021-12-23 15:48
作者: nbbigsky

ttcha 发表于 2021-12-23 13:02
你怎么知道阿里没有通报工信部?

你连阿里为什么被罚六个月都不知道就敢回复,我也是很佩服
时间:  2021-12-23 15:59
作者: oooooooo

yz98061 发表于 2021-12-23 15:46
其实说不定别人早知道了,而且只要不报给项目开发者,补丁哪里来?无论晚报给开发者多久,期间只能先暂时 ...

我不懂软件,但这个漏洞不一定只能开发者打补丁吧?不是开源的吗?另外,知道了漏洞应该可以采取一些临时措施(包括但不限于暂停不用),而不是放任不管。
时间:  2021-12-23 16:05
作者: 六韬三略

提示: 作者被禁止或删除 内容自动屏蔽
时间:  2021-12-23 16:29
作者: yz98061

oooooooo 发表于 2021-12-23 15:59
我不懂软件,但这个漏洞不一定只能开发者打补丁吧?不是开源的吗?另外,知道了漏洞应该可以采取一些临时 ...

太高估gxb的能力了,它除了发命令暂时禁用外,没啥用处,国内开发者实力也是个人开发者比国企的强多了
时间:  2021-12-23 16:38
作者: oooooooo

yz98061 发表于 2021-12-23 16:29
太高估gxb的能力了,它除了发命令暂时禁用外,没啥用处,国内开发者实力也是个人开发者比国企的强多了

我觉得你对GXB在这事儿里的作用有误解,GXB相当于个牵头的,把问题收集上来再通知各企业、单位,既不负责打补丁,也不会下命令禁用(即便下命令也应该只会在听取专家建议之后对直属单位下命令)。
时间:  2021-12-23 17:04
作者: aindyhz

作为一家TOP服务器厂商,所有高管和技术人员必须时刻绷紧网络安全这根弦;这次漏洞不上报给GXB,要么是负责人缺乏安全意识,要么是故意而为之,你们觉得会是前者吗?我都觉得处罚太轻了
时间:  2021-12-23 17:11
作者: zlk_zlk

谁告诉你是他发现的?
时间:  2021-12-23 17:17
作者: riotK

ttcha 发表于 2021-12-23 13:02
你怎么知道阿里没有通报工信部?

阿里被处罚就是因为没上报工信部啊
时间:  2021-12-23 20:02
作者: 东方既白

成年了吗?
时间:  2021-12-23 21:13
作者: 云中云

提示: 作者被禁止或删除 内容自动屏蔽
时间:  2021-12-23 21:49
作者: yanxianhu

ttcha 发表于 2021-12-23 13:02
你怎么知道阿里没有通报工信部?

今年7月13日,工信部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》,对漏洞的发现、报告、修补和发布等行为做了明确规范,《规定》与《数据安全法》一起于9月1日起施行。 其中第七条写明:网络产品提供者发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。同时,应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台(以下简称平台)报送相关漏洞信息。
时间:  2021-12-24 03:39
作者: SOHU2021

风凉个**  阿里这次是严重违法了   相当于把漏洞直接汇报给美国中央情报局
时间:  2021-12-24 10:13
作者: rible

yz98061 发表于 2021-12-23 15:29
一般都是谁的项目找谁修漏洞,提前报给gxb唯一的用处是通知全国暂时不用这玩意,还有就是利用这个漏洞先攻击 ...

谁跟你说的?安全漏洞各个公司都可以暂时自行防护。特别是对IT技术较强或者重要的部门来说。
时间:  2021-12-24 10:33
作者: passer2021

SOHU2021 发表于 2021-12-24 03:39:04 风凉个**  阿里这次是严重违法了   相当于把漏洞直接汇报给美国中央情报局

还是处罚得太轻了
时间:  2021-12-24 10:35
作者: passer2021

yz98061 发表于 2021-12-23 16:29:03 太高估gxb的能力了,它除了发命令暂时禁用外,没啥用处,国内开发者实力也是个人开发者比国企的强多了

跟高估低估没关系,既然在中国做生意,就按中国的规定来,否则就离开中国!
时间:  2021-12-24 10:59
作者: rible

yz98061 发表于 2021-12-23 15:46
其实说不定别人早知道了,而且只要不报给项目开发者,补丁哪里来?无论晚报给开发者多久,期间只能先暂时 ...

当然不是了。知道有漏洞可以暂时关闭相关功能,或者增加别的防护措施啊。
时间:  2021-12-24 11:48
作者: yz98061

rible 发表于 2021-12-24 10:13
谁跟你说的?安全漏洞各个公司都可以暂时自行防护。特别是对IT技术较强或者重要的部门来说。

也就大厂有点实力,别的都是外包的,工程师月收入1W不到的,你指望给你做出什么?你说直接禁用这东西那还有点意义,指望自己修没几个公司有这实力
时间:  2021-12-25 05:17
作者: catbreast

passer2021 发表于 2021-12-24 10:35:26 跟高估低估没关系,既然在中国做生意,就按中国的规定来,否则就离开中国!

三大运营商的https用的是openssl还是国密ssl?
人家都是久经考验的,报告给中情局?全世界谁还用它?
你搭个涉及用户数据的网站,你用openssl还是国密ssl?
这事也就外网没发酵,发酵了之后,就又是两套标准,国外玩国外的,国内玩国内的,华为的开源软件不少吧,就这样还想走出去?
你连开源软件出现漏洞要先报告给政府,人国外不禁华为干嘛啊?
时间:  2021-12-25 17:13
作者: xuqz

坏透了
时间:  2021-12-25 19:32
作者: rible

yz98061 发表于 2021-12-24 11:48
也就大厂有点实力,别的都是外包的,工程师月收入1W不到的,你指望给你做出什么?你说直接禁用这东西那还 ...

有搞不定的。但拥有非常重要数据的很多公司或单位都可以搞定。不能因为有公司搞不定就不通知。这是两回事儿。
时间:  2021-12-25 19:33
作者: rible

catbreast 发表于 2021-12-25 05:17
三大运营商的https用的是openssl还是国密ssl?
人家都是久经考验的,报告给中情局?全世界谁还用它?
你搭 ...

什么叫先报告给政府?是同时通知监管部门好不?又没说不告诉开源组织。
时间:  2021-12-25 19:55
作者: silverbullet21

提示: 作者被禁止或删除 内容自动屏蔽
时间:  2021-12-25 22:25
作者: zzgfyj

发现漏洞为啥要报告,私下把这个漏洞告诉国家情报部门不好吗
时间:  2021-12-25 22:31
作者: yz98061

rible 发表于 2021-12-25 19:33
什么叫先报告给政府?是同时通知监管部门好不?又没说不告诉开源组织。

这个说法同意,只要不是私藏漏洞先黑别人,那就没什么问题。如果上面拿到漏洞要求阿里封口,先黑一下别人搞点东西,阿里还照做了,那就真不是东西了
时间:  2021-12-27 09:01
作者: dimao_dimoo

ttcha 发表于 2021-12-23 13:02
你怎么知道阿里没有通报工信部?

你是个天才,建议清华录取
时间:  2021-12-27 09:29
作者: drogba19890930

yanxianhu 发表于 2021-12-23 21:49
今年7月13日,工信部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》,对漏洞的发现 ...

这个规定逻辑上有些漏洞,阿里到底算不算Apache漏洞的产品提供者
时间:  2021-12-28 09:19
作者: 家园小奴工

此时不应该谈谈责任吗?论坛里面好多人推崇李鸿章的,此时不应该想想“手持利器、杀心自起”?
时间:  2021-12-29 09:20
作者: sycl0012

catbreast 发表于 2021-12-25 05:17
三大运营商的https用的是openssl还是国密ssl?
人家都是久经考验的,报告给中情局?全世界谁还用它?
你搭 ...

你发现外面路上有问题可能导致路人受伤,报给道路管理部门处理的同时,是不是要提醒下家人?
时间:  2021-12-29 09:23
作者: 为别人打工的人

时间:  2021-12-29 15:12
作者: 天风之澜

听其言,观其行,一切尽在不言中。
时间:  2021-12-30 16:56
作者: 一颗胖土豆

ttcha 发表于 2021-12-23 13:02
你怎么知道阿里没有通报工信部?

洗之前看看新闻,工信部对阿里因为这个事情有处罚的
时间:  2021-12-30 16:57
作者: youyouran

xnwzp 发表于 2021-12-23 11:24:12 挨打就立正,错了就是错了,也没否认阿里的成就,立场错了还不抨击,那才是真想阿里si

得了吧。阿里云发现漏洞被重罚,只因为叫阿里。
时间:  2021-12-30 16:57
作者: youyouran

莫名卡 发表于 2021-12-23 12:06:02 莫名其妙啊,阿里这件事情做得铁定有问题。漏洞11.19号就报给apache了,你知道apache会不...

网络世界天天都有BUG,月月都有漏洞。中情局可要忙死了
时间:  2021-12-31 15:45
作者: eddie33178583

我知道為何不先給GXB
但我不能說
时间:  2022-1-14 11:26
作者: uy9001

技术向的很多东西向国外相关组织通报问题其实不大
关键是工信部自己组织这种技术联盟性质的东西了吗
阿里有没有便捷上报通道?
时间:  2022-1-17 18:06
作者: sunzp

时间差,一段时间内使得国内系统裸奔啊,太危险了。



通信人家园 (https://www.txrjy.com/) Powered by C114