安全太昂貴了

CVE-2014-0160，哀鴻遍野。

稍微靠譜些的網站都升級了。可是，僅僅升級就夠了麼？

阿里昨天宣佈升級了openssl相關的庫，其餘呢？不得而知。我只知道淘寶、支付寶的會話仍然保持着，也沒有提示我改密碼。網上的報道說：「不過對於用戶關心的「是否須要更換密碼」等問題，支付寶公關部負責人陳亮沒有給出答覆。」

GitHub呢？發了一篇博客，說升級了軟件，從新生成了證書，而後在更新系統前的會話所有撤銷了。這就負責多了。畢竟漏洞一公開，像GitHub這樣的大站，被一堆人嘗試攻擊是必然的事。可是這個漏洞存在這麼久了，沒公開以前就沒有人發現和利用麼？在我看來，若是重視安全問題，那麼應當強制用戶改密碼，或者，提示用戶相關的風險，讓用戶自行決定是否須要修改密碼。然而 GitHub 登陸後並無任何修改密碼的提示，也沒有郵件通知。只在博客裏提到爲了確保安全，用戶能夠修改密碼，撤銷已有的應用受權等等。大約是考慮，不太在乎安全的用戶，沒必要提示什麼。真正關心安全的用戶，會到博客尋找相關信息的吧。

技術上，提示用戶修改密碼很容易作到。阿里、GitHub都有雙因子認證這樣的功能，這說明它們都把自身看出是對安全性要求很高的站點，然而卻並不提示用戶修改密碼。我想，這大概是有技術以外的一些考量。

阿里、GitHub只是舉例。個人郵箱裏，沒有一封通知修改密碼的郵件。