美国法佑网综合报道：不正当利用浏览器漏洞 网络安全研究人员被封号

——封号起因

面对自己最新的研究发现，网络安全研究人员Moxie Marlinspike喜忧参半。

喜是容易理解的。但忧从何来？原来同样是因为该发现，Marlinspike被PayPal——一种在线支付工具——封了账号。

据他本人接受采访时称，他是向PayPal打过招呼后，才将研究发现公开的。现在PayPal突然改变主意，完全是他始料不及的。

据PayPal电邮回应，封号的原因不在于会议内容，而是Marlinspike使用该成果的方式。

——个中缘由

Marlinspike的发现有两点：

一、一部分浏览器（如IE）不会读取“”之后字符。

二、以下举例说明。比如有个网站地址为“PayPal.com.badguy.com”，看上去它是PayPal的页面，其实却是它的后缀——badguy.com——的子域名。不仅如此，如果badguy.com的网站拥有者拿这个复杂的地址去申请域名证书，是能够通过证书授权机构的审核的。

基于以上两点，只要任意注册一个域名（如badguy.com），插入“”字符（即成为*.badguy.com）后，就能冒充任何一个网站（*）了。此外，如果再用上Marlinspike在个人网页上提供的工具，任何人都可以瞒过浏览器进行冒充，从而获得目标网站未加密的认证信息。

据PayPal发言人表示，将自己开发的工具提供给游客免费下载是没错，错在网站上的广告——Marlinspike希望支持他的人通过PayPal向他赞助。这种做法有违《可接受使用策略》中的规定——PayPal不应被用来支付那些会侵害第三方信息安全的工具。

但据Marlinspike辩护称，违反该规定拉赞助的人还有很多，但被PayPal封号的就他一人。

目前，只有一部分浏览器——如火狐——发布了信息表示非法证书已被撤销。但由于微软本身的程序错误没被解决，因而漏洞仍然存在。

新闻高级会员服务：获得该案独家法庭原件，原被告资料，证词证据，警察检方细节报告，更多内容，请联系我们。美国电话：+1 650-3311852     中国电话：+86-10-62962550