我所在大学的服务器已经严重过时,以纯文本形式存储密码,并且运行着非常旧且不安全的 Apache 版本。
我个人认为将我的信息存储在他们的网络上并不安全,但是为了访问我的课程我必须这样做。
因为我知道大学里没人会认真对待我,我能做些什么来确保网络安全?比如设立一个网络安全“商业促进局”之类的机构?
由于我的信息可在该网络上获取,因此我不会分享该大学或我发现的安全问题。
答案1
我还建议您不要以为您不会被认真对待,并尝试将问题作为严重漏洞提出来。您说他们以纯文本形式存储密码的方式让我认为您看到了密码的布局。如果是这样,使用凭证会很快让您陷入非常混乱的境地。但是,如果凭证受到如此糟糕的保护,并且您可以将其转储到文件或其他地方,那么这可以用来帮助您的案例得到更认真的对待。有人可能会说,如果密码受到如此糟糕的保护,并且不费吹灰之力就可以读取,那么可以将它们发布在某个地方,以提醒其他学生,他们需要为自己的安全挺身而出。我并不是想建议该怎么做,因为在事情变得不道德或非法之前,你能走多远的界限充其量是模糊的。
即使你没有那么做,你也可以告诉设施工作人员需要提高安全性,否则就会公开他们的安全措施使密码变得可读。我从事 IT 行业,但我喜欢认为,在这个经常发生数据泄露事件的世界里,普通民众明白需要认真对待安全问题。