Macworld网站漏洞 大送乔布斯演讲VIP通行证

关键词： 黑客 苹果 IDG 安全 Macworld MacWorld 漏洞 Web 2.0 iPhone

CNET科技资讯网1月16日国际报道 Macworld会议网站的安全漏洞，让一名黑客宣称取得价值1,695美元的白金级通行证，现场观赏Steve Jobs的演说。

一位安全专家表示，Macworld Conference and Expo的活动网站有一安全漏洞，能让企业黑客取得免费的"白金级通行证"，价值1,695美元。这类通行证是最贵的等级，包括众人抢破头的Jobs上周二（9日）重要演说的前排座位。Jobs在那场演说中公开苹果的新产品iPhone。

位于加州柏克莱的安全专家Kurt Grutzmacher 日前在个人博客中透露，Macworld网站上的特别折扣码没有适当防护，让他得以轻松发现免费取得白金通行证的程序代码。

Grutzmacher在8日领取他的免费"白金通行证"，并于隔天通报活动主办单位IDG World Expo。Macworld已于12日闭幕。Grutzmacher写道："他们花了一整天的时间检查网站记录，发现其它人也发现并利用这个弱点，但只有我一人通报。"

Macworld主办单位IDG World Expo不愿证实或否认网站遭骇。发言人Charlotte McCormack仅简单表示"不予置评"。负责该活动注册事宜的Registration Control Systems则将所有问题推给IDG。

网络安全专业公司SPI Dynamics研究员Billy Hoffman表示，Macworld被骇的情况，是Web 2.0应用软件安全问题的绝佳事例。他指出，IDG将某些确认使用者注册的工作交给PC，以加速其网站的回应。他们把某些JavaScript程序代码推给浏览器，如此一来便泄漏出网站如何验证和使用优先码。

Hoffman说："我12日造访IDG的注册网页，发现JavaScript还是含有优先码，大方供任何人盗用。为了丰富使用者的体验，（网站）程序员在JavaScript里面暴露了所有折扣价，让黑客得以发现它们，骗取数千美元的价值。"

Grutzmacher的行为并非任何人都办得到。注册之后，他发现Macworld在线注册页真的包含可用的折扣码，也就是所谓的"优先码"。但这列程序经过加密，显示成MD5乱码。只是这类保护很容易破解，因为网站本身便提供一些破解的信息。Grutzmache只用了不到10秒钟，便取得免费白金通行证的程序代码。

Grutzmache写道："你终究不希望提供客户所有必要的信息，让他们取得不该得到的东西。在服务器而非客户的PC验证，并且守住金钥。当然，你也不该用非常简单的金钥提供折扣资格。"