Instagra m创始人迈克•克里格指出,公司有计划尽快完成整个服务系统对HTTPS加密协议的使用更新。这等于对日前Instagra m的iOS版潜在的缺陷作出了回应。
在Facebook未能解决这一问题之后,开发人员史蒂夫·格雷厄姆公开了应用缺陷。 根据Hacker News上的一条评论,格雷厄姆年前就发现了问题,意识到问题一直没有解决时觉得很震惊。(Hacker News,一家关于计算机黑客和创业公司的社会化 新闻 网站。)
问题就在于使用iOS应用程序的用户通过中间人进行攻击,因为Instagra m会通过session cookie发送一些未经加密的数据。一个不怀好意的演员可以利用这些数据在转至其他配置文件时攻击帐户。
以下是克里格对此的回应:
“我们一直在增加HTTPS的覆盖范围。比如说,2013年底我们推出的“Instagra m Direct”,照片与消息私密共享功能,就是百分之百的安全协议。应用的其余部分,特别是对于像主渠道和其他浏览数据这样的潜伏阅读端点,我们正在积极推出HTTPS,确保在性能、稳定性和用户体验方面不后退。我们希望尽快完成这一项目,我们也会把有关的经验分享至官方博客,便于其他公司从中吸取教训。”
与此同时,一位Instagra m发言人作出以下声明:
“我们正在部署有需要的技术工作,添加HTTPS安全保护至Instagra m应用程序的剩余部分,同时确保稳定性与其性能发展。我们将在Instagra m社区上更新我们的工作进展。”
格雷厄姆自己则扬言要推出一个“Instasheep”的自动化过程工具,以迫使Facebook尽快出手解决问题:
“我希望 @instagra m 会在我推出这个工具之前及时修补漏洞… pic.twitter.com/wWCCoA3WS5”
——史蒂夫•格雷厄姆(@stevegraham) 2014年7月28日
Facebook在2011年为回应Firesheep对未加密帐号的攻击而向用户提供了HTTPS加密选项,去年正式宣布默认启用HTTPS加密连接。今天Instagra m的缺陷虽然不是非常重要,但该公司还是应该加快步伐,跟上再生父母即Facebook的脚步。