F12是一個神奇的按鍵,有些網站把鍵盤預設禁用了,無法複製網站的內容,有些網站老是彈窗要求註冊,這些都可以使用F12解決。對於開發人員來說,F12更是一個神器。
使用F12本來是再正常不過的操作,然而近日美國密蘇里州發生了一件令人啼笑皆非的事情,一名記者使用F12發現了一個網站的漏洞,並提交給維護該網站的政府教育部門,結果被起訴,指控其駭客行為。
根據 Ars Technica 的報道,《聖路易斯郵報》的一名記者在密蘇里州中小學教育部維護的網站,查詢教師資格證書的時候,一時心血來潮,按下F12檢視網站的html原始碼,結果意外發現了一個會暴露教師和其他學校員工的社會安全號碼(SSN)的安全漏洞。
這個網站允許使用者檢視密蘇里教師的證書,只需要輸入姓氏和社會安全號碼的後四位數字,就能查詢到對應老師的證書。然而因為這個安全漏洞,查詢者可以輕易在html原始碼中檢視到完整的社會安全號碼。
根據密蘇里州的法律,社會安全號碼是嚴禁公開和披露的。
讓人大跌眼鏡的是,當記者把這一漏洞,反饋給負責維護的教育部門,且承諾在修復漏洞期間,不會將漏洞公開後,竟然遭到了密蘇里州政府的起訴。
首先,他們關閉了網站的訪問許可權,然後召開記者釋出會,表示將起訴發現漏洞的記者。州長放下狠話:“該記者企圖讓國家難堪併為新聞頭條不擇手段他還說道,政府不會成為新聞媒體的棋子。政府會透過法律制裁任何一個入侵我們系統的人,追究所有幫助這個人的其他人和僱傭他們的媒體公司的責任。”
因為幫助記者驗證漏洞,密蘇里大學聖路易斯分校的網路安全教授Shaji Khan也遭受到了調查。
該事件一經發生,國外網友紛紛吐槽,有的人說:“真正的駭客從來不用F12,而是用Ctrl+Shift+i。”也有人調侃道“如果你用的是Windows,按下cmd-u或者ctrl-u,恭喜你,你現在已經是一名精英犯罪駭客了。”
這已經不是美國政客們鬧出第一個關於IT領域的笑話。
早在2018年,臉書隱私門事件中,扎克伯格出席美國參眾兩院聽證會時,參議院們的提問就暴露出他們對IT的無知。
比如參議員奧瑞恩·哈奇向扎克伯格提問“臉書不是免費的嗎?你們怎麼賺錢”等等。有的參議員還提出了許多自認為很有建設性的建議,比如使用者能不能把自己的資料從臉書轉移到別的平臺等等,結果臉書早就這麼做了。
網頁安全真的不分國界,美國如此,中國的一些開發者也是如此。
手機號、密碼、賬號等資料應該儲存在資料庫中,而有的“開發者”不知道是水平有限,還是圖省事,亦或是甲方尾款沒到賬,直接將這些敏感資料寫在html程式碼中。曾經就有開發者做過很奇葩的事情,他直接將使用者賬號和密碼寫在html程式碼裡,然後再判斷使用者資料的賬號密碼,是否與程式碼中的一樣,以此來校驗密碼是否正確。
對於密蘇里州州長的行為,真的特別想送他一本《HTML CSS JavaScript網頁製作 從入門到精通》。