如果要我說對於資訊業界接觸以來感受到最矛盾的事情,其中首先浮現的就是資訊公司本身的資訊化程度通常都不高,至少不比他自己的客戶高。
資訊公司的業務在客戶那邊,往往把自己的產品說的多神奇,似乎用了他的產品就等於上了天堂。但是如果你夠聰明,你可以問他,他自己的公司有用這個產品,又從這個產品得到甚麼效益?當然不是所有的產品都適合廠商自己使用,但是我相信可以適用的產品也不在少數。但是事實卻是,很多廠商自己根本不使用自己銷售的產品,能夠在公司擺個固定的機器測試已經算是不錯了。有些可能只是有需要的時候才測一下,至於甚麼時候叫有需要,大家就心照不宣了。
那麼原因在哪?我想原因可能很多,最重要的原因可能是因為賣產品給自己的公司沒有業績,所以誰要做白工?那麼公司管理階層難道不知道用了自己的產品可以上天堂嗎?也許他們知道吧,不過他們倒是抱著我不入地獄誰入地獄的心態在服務客戶,真是佛心來的。
所以囉,就發生了資安業界的龍頭,儘管自己公司代理了有關網站與程式安全的檢查工具,仍舊無法避免自己的網站發生了XSS (Cross-Site Scripting) 的漏洞。該篇報導說這是很諷刺的事情,我倒覺得這其實很可笑。因為XSS浮出檯面已有數年的時間,這幾年更是最主要的攻擊方式,再加上自己的公司既然都已經銷售相關的產品,難道連該掃一下自己公司的網站都不知道嗎?解釋是,因為程式是好幾年前開發的,而且銷售該類產品屬於其他部門...好吧,一家公司要大到心臟跟腦袋分開也不是那麼容易的。
不過我也不會太過苛責這家公司,因為畢竟他們不是第一個,也不會是最後一個。更何況連國際大廠也是會出紕漏,所以大家就將就著用吧。只不過下次當你的廠商再跟你推銷產品時,別忘了問他們公司自己使用的感覺如何啊。不過更別忘了,很多業務是舌燦蓮花的,所以答案可不可信,就憑你自己的判斷了。
P.S. Application Security 確是目前重要的資訊安全問題之一,不過在台灣還是過冷,而且還多是停留在銷售產品,可惜了啊。
原文出處:
精誠資訊網站傳漏洞 遭植入惡意連結
沒有留言:
張貼留言