為什么蘋果“炸掉”開發者網站是件好事？

蘋果公司決定“炸掉”開發者網站，通過重建來解決安全問題的“休克式療法”會帶來巨大的經濟損失，但這絕對是個正確的決定。

蘋果開發者中心在7月18日因為安全漏洞或攻擊而關閉，截至發稿也沒有完全恢復。蘋果公司在聲明中表示，這起安全事件可能導致27.5萬蘋果開發者的姓名、通訊地址和電子郵件地址等信息泄漏，但蘋果公司強調敏感的個人資料都經過加密，無法被訪問。（編者按：土耳其安全專家Ibrahim Balic聲稱對攻擊負責，并在油Tube上發布視頻公布蘋果開發者網站的跨站腳本XSS安全漏洞）

蘋果公司在安全問題上是出了名的守口如瓶，以這次安全事故為例，事發后三天蘋果對外宣稱網站關閉是因為“維護問題”。直到了當周末，蘋果才發表了對這次網站關閉的解釋以及數據外泄的范圍。另一篇并沒有得到太多關注的公告是說明他們現在為此做些什么：

為了防止這樣的安全威脅再次發生，我們已經全面的審查我們的開發系統，更新我們的服務器軟件，并且重建了整個數據庫。

換而言之，蘋果公司已經決定接受長時間關閉網絡服務的巨大損失，好通過完整的重建來徹底解決安全風險、威脅和安全漏洞。套句電影《異形》女主角蕾普莉的名言：蘋果決定將開發者網站整個炸掉，因為“這是唯一可以徹底解決的辦法。”

這幾乎是前所未有，全面性的響應，特別是在還不確定是否真有外泄事件時。一名來自英國的安全研究人員 – Ibrahim Balic聲 稱他發現了該網站的漏洞，通知蘋果公司，之后他們關閉了網站。他還聲稱，他沒有入侵該系統或存取數據。不管是否有外泄事件出現，這次事件里資料外泄的范圍 （或可能外泄）是有限的，而這也是為什么蘋果“壯士斷腕”式的做法是值得贊賞的。要知道，沒有多少公司可以接受長時間關站來做正確的事和重建（編者按：除 非該站需要在工信部備案），另外一起可參考的事件是索尼在2011年針對PlayStation Network被入侵的回應，在那次事件里索尼關站了25天。但在索尼PSN安全事故中，有明確的數據外泄發生——7700萬用戶數據泄漏，包括1.2萬張用戶信用卡資料。

索尼公司表示，那起外泄事件造成他們至少一億七千一百萬美元的損失，很大一部分是因為關站來重建系統。盡管如此，索尼做了正確的事情去接受關站的決定，此后也沒有入侵外泄事件發生。可惜的是Sony并不會因此獲得稱贊，他們應該要有的。

所以Apple的安全團隊也應該得到稱贊，因為他們做了和Sony一樣的事情，并不只是在整個混亂的架構下修補一個漏洞，而是花時間來重建系統，讓系統更加安全。如果我們有更多的企業用這方式來應對入侵外泄事件，我們（技術、隱私、安全和網絡威脅）產業將會變得更好。

Via：趨勢科技投稿/IT經理網

原文鏈接：Why Taking the Apple Developer Sites Down was a Good Thing