---- webfinance.cn 出品 ----
网贷简报(ID: wangdaijianbao )
每天一分钟,了解网贷动态。
有趣有料有节操,网贷简报,并不简单。
耗子的话:
这是网贷简报一位读者朋友(Pisces)今天凌晨发来的投稿,文章内容仅代表作者观点,不代表网贷简报立场。
提醒一下大家,网贷简报也是一个提倡百家争鸣的开放的互动平台哦!欢迎各位向耗子哥提供新闻线索和思考方向,而如果有合适的文章,那就再好不过了,网贷简报可以为大家提供一个发声的机会。当然,前提是:言之有物,言之成理,软文广告勿扰,极有文采和创意的除外。我们的原则是:为网贷而思考,为网贷而发声,有趣有料有节操!
正文:
这两天在IT圈子里最火的话题当然是OpenSLL漏洞了。关于这个漏洞,解释起来很复杂,我只简单的告诉大家它的威力:你的网银、支付宝、京东、QQ、163邮箱的密码可能已经全部被泄露出去了,你的私房钱可能就静静的躺在某个黑客的数据库中,等待着他的启用。(想进一步了解这个漏洞的影响和危害的,可以按照文章末尾放出的网址,前往知乎大神Evi1m0的专栏阅读。)
惊闻这个消息后,其实我并不担心网银、支付宝等网站的密码,毕竟那都是大公司,他们有足够强大的技术团队,很快就能修补好漏洞。我只需要等他们补好漏洞后,修改一下密码就行了。
真正让我担心的是那一众 P2P 网贷平台!
很多P2P网贷公司都是这两年创办起来的。在创业期,公司面临着四面八方的问题,却往往因为人手不足而不能迅速解决。当他们在做大做强的路上狂奔时,网站的安全性很有可能没得到完美保障。有鉴于此,我对几家关注度比较高的P2P平台做了一点小测试,得到如下借测结果,发出来以供大家参考。
首先,检测的是P2P网站是否采用了https协议加密。https协议是由ssl+http协议构建的可进行加密传输、身份认证的网络协议,大家可以简单的认为https是http的安全加密版。相同条件下,一个网站使用了https协议会比使用http协议要更安全。
第一个检测的是号称P2P业界最安全的陆金所。可以看到陆金所采用了加密性更好的https协议。
第二个检测的是最近比较火爆的有利网。可以看到有利网也采用了https协议。
第二个检测的是纯做平台的拍拍贷网。很遗憾,拍拍贷并没有采用了安全性更好的https协议,只使用了普通的http协议。
还有其他网站也检测了是否使用https协议,相关图片我就不列举了,可在文章最后表格中知道相关信息。后面两项检测也是一样。
第二步,检测的是此次暴露出来的OpenSLL漏洞,看看各家网站是否修补好了这一漏洞。检测这个漏洞,我使用的是奇虎360公司的在线检测工具。网址会在文章末尾放出。
第一个依然是陆金所。可以看到陆金所的动作很快,“心血”漏洞已经被修补好了。
第二个检测的是还是有利网。有利网的漏洞也修补好了。
这一轮测试的众多网站中,我们发现只有人人聚财的网站的OpenSLL漏洞还没有修补好。在发现这一问题后,笔者第一时间联系了人人聚财的官方微信客服。截止发稿时,经检测,人人聚财网站的此项漏洞已经修补完毕。
第三步,我使用了360在线安全检测来检测P2P网站的安全情况。经过测试,有一些网站安全工作还不够到位,存在一些漏洞。
其中最严重的是拍拍贷,拍拍贷的网站已被黑客攻破,并挂上了木马。当投资者登陆拍拍贷网站的时候,很有可能造成客户的个人信息泄露。
其次人人聚财、宜人贷也各有一个警告漏洞没有修补。
即使是得了满分100分的有利网和人人贷,也还有一些安全隐患没有彻底解决。很有可能被黑客攻击利用。
其他网站经检测没有什么问题。但本轮测试中,点融网、积木盒子、合力贷显示无法检测,无法给出安全数据。
最后,附上我这次检测的网站的三轮成绩。时间有限,我只检测了最近比较火爆的几家P2P网贷网站的安全情况,还有一些其他的P2P网站,我没有一一检测。若你所关心的网站不在下表之中,在文章的末尾,我附上了我使用的在线检测工具,大家可以自行检测。
对于P2P网贷来说,大家可能更关心的是网贷公司是否安全,会不会跑路,能不能保本保息。网站是否安全,通常大家都关心的比较少。但实际上,网站的安全就像基石一样,是最基础、最根本、最重要的东西。试想一下,若是一名黑客攻*网破**站,盗得你的账号和密码,然后将钱全部取走。那你辛辛苦苦赚钱不就是在为他人做嫁衣吗?收益再高,本息保障的再好,又有什么意义呢?
不过,在安全领域,通常运行的是短板效应,决定一只木桶能乘多少水,通常是由木桶的最短板决定的。若是网站做的再安全,再固若金汤。你自己没有保管好账号密码,那也白搭。所以我建议大家设置密码要有技巧,按网站的重要程度分成三个类,设置三种不同的密码。千万千万不要所有网站都使用一个密码,不然只要一个网站被攻破,你网络世界上所有的密码就全暴露了。对于投资了多个P2P平台的网友来说,我建议你们一个平台设一个密码,不要怕麻烦也不要偷懒。和自己的血汗钱比起来,这点麻烦算什么,是吧?
--------------- 友爱的分割线 ------------
Evi1m0大神的知乎专栏地址:http://zhuanlan.zhihu.com/Evi1m0/19722635
OpenSLL漏洞在线检测地址:http://wangzhan.360.cn/heartbleed/
360网站安全在线检测地址:http://webscan.360.cn/