文 | 局長

出品 | OSC開源社區（ID：oschina2013）

美國密蘇里州近期發生了一起引發巨大討論的“安全漏洞”事件。

根據 Ars Technica 的報道，《圣路易斯郵報》的一名記者在使用由密蘇里州中小學教育部?(DESE)?維護的網站查詢教育工作者的資格證時，發現了一個會暴露教師和其他學校員工社會安全號碼 (SSN) 的安全漏洞。

這里所謂的安全漏洞其實就是記者通過使用瀏覽器自帶的「查看源代碼」、「查看頁面源代碼」此類功能，發現教師的社會安全號碼直接暴露在 HTML 源代碼中（后文會提到這些信息經過了 base64 轉碼，但沒被加密）。

記者發現漏洞后，隨即向維護該網站的政府教育部門進行報告。同時，記者所屬報社也做出承諾，在修復漏洞期間不會發布任何相關信息。

然而政府接下來的操作卻讓人匪夷所思。他們先是關閉了網站的訪問權限，接著召開新聞發布會，并表示準備起訴發現漏洞的記者。州長在發布會上直言報社“企圖讓國家難堪并為新聞頭條不擇手段”。他還說道，“政府不會成為新聞媒體的棋子。政府會通過法律制裁任何一個入侵我們系統的人，追究所有幫助這個人的其他人和雇用他們的媒體公司的責任。”

由于在此期間，網絡安全教授 Shaji Khan 幫助記者驗證了漏洞的存在，所以他后面也遭受到了政府的無端調查和指控。

Shaji Khan 做了這樣的操作：

• 訪問任何人都可以訪問且無需登錄的公共網站

• 查看公開的源代碼（任何人都可以使用「查看」菜單選項在任何網頁上輕松完成）

• 識別被稱為"View State"的可疑源代碼片段，其中可能包含此次事件中的所謂安全漏洞

• 將已被轉碼的信息轉換成可讀的純文本，這也是任何人都可以完成的操作

Shaji Khan 指出，任何人都可以在短短幾分鐘內完成整個過程。沒有任何數據被加密，也不需要密碼，密蘇里州沒有采取任何措施來保護該州自動發送給每個網站訪問者的教師社會安全號碼。

對于州政府新聞稿中聲稱一名“黑客”訪問了教師社會安全號碼的說法，Shaji Khan 指出這種描述是錯誤的，因為實際情況是“密蘇里州自動將教師社會安全號碼傳輸給每個網站訪問者。發現并報告此安全漏洞的人沒有試圖未經授權訪問或‘入侵’網站”。

此外 Shaji Khan 還指出，州政府違反了“禁止公開披露公民身份證號碼”的法律，且未遵循“告知數據泄露受害者事件相關準確信息”的另一項法律規定。

▲?Shaji Khan 教授

Shaji Khan 聘請了一名律師為自己辯護，反對政府的指控。他要求州政府保留與此事件有關的所有記錄，作為訴訟保留的一部分，停止“對?Shaji Khan 教授進行毫無根據的調查”，并“補償他為自己免受各方毫無根據的指控辯護而產生的合理律師費，以及因為各方給他造成的巨大壓力和干擾”。

到目前為止，Shaji Khan 教授向政府提出的終止調查指控以及索要賠償和道歉要求并未得到回應。Shaji Khan 表示，如果訴求得不到滿足，他將會考慮起訴政府，探索各種途徑在法庭上解決不當行為。

有關網友的討論可查看 reddit 上的兩個帖子

• https://www.reddit.com/r/programming/comments/qeuaxf/digging_around_html_code_is_criminal_missouri/

• https://www.reddit.com/r/programming/comments/qhg9yh/viewing_website_html_code_is_not_illegal_or/

有道無術，術可成；有術無道，止于術

歡迎大家關注Java之道公眾號

好文章，我在看??

總結

以上是生活随笔為你收集整理的查看网页HTML源代码违法，属于“黑客”行为？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。