360安全专家石晓虹博士表示，少量网站的“登录漏洞”是因为采用了Http Get的方式在用户登录时进行身份验证，只要关闭这项登录方式，改用安全性更高的Http Post方式，就能修复网站的“登录漏洞”。

    石晓虹博士打了个比方说：网站存在“登录漏洞”，就相当于一个人把银行卡号、密码以及开户银行都记在一张纸条上。这是一种极不合理的保密方式，如果整张纸条丢了，就会使自己的财产面临失窃的危险。不过经360安全中心验证，目前存在“登录漏洞”的网站数量并不多，主要是一些安全机制不严格的网站，并不涉及网上银行、网上支付、网游等重要帐号。

    有网友评论认为，此前金山毒霸和360就“是否泄露用户隐私”爆发口水战，就是个别网站的“登录漏洞”惹了祸。对此石晓虹博士解释道：“为了找到木马攻击源头，360和其他国内外安全厂商普遍采用了‘挂马网页触发可疑网址上传’机制，即在用户受到挂马网页攻击时，会把当前所有未关闭网页的URL网址上传到日志服务器上进行验证，以便把其加入恶意网址库。如果此时用户恰好访问了存在‘登录漏洞’的网站，就有可能把泄露了用户名和密码的网址一并上传，造成安全隐患。”

    石晓虹博士进一步表示：“360并没有泄露用户隐私，只是云安全、云计算这项全新的技术体系有可能把个别‘登录漏洞’网站泄露的用户隐私采集。如果想从根本上杜绝这个情况，不仅安全厂商应该注意妥善处理用户信息，互联网站也需要积极修复漏洞。”

   据介绍，360安全中心已率先针对网站“登录漏洞”采取了应对措施：当用户访问存在“登录漏洞”的网站时，即便遇到未知挂马网页攻击，360网盾也不再进行样本上传；此外，360网盾未来还将发布一项可以检测网站“登录漏洞”的功能，当用户打开此类网站后第一时间进行安全提示，最大限度地保护好用户隐私。

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。