安全太昂贵了

CVE-2014-0160，哀鸿遍野。

稍微靠谱些的网站都升级了。可是，仅仅升级就够了么？

阿里昨天宣布升级了openssl相关的库，其余呢？不得而知。我只知道淘宝、支付宝的会话仍然保持着，也没有提示我改密码。网上的报道说：「不过对于用户关心的“是否须要更换密码”等问题，支付宝公关部负责人陈亮没有给出答复。」

GitHub呢？发了一篇博客，说升级了软件，从新生成了证书，而后在更新系统前的会话所有撤销了。这就负责多了。毕竟漏洞一公开，像GitHub这样的大站，被一堆人尝试攻击是必然的事。可是这个漏洞存在这么久了，没公开以前就没有人发现和利用么？在我看来，若是重视安全问题，那么应当强制用户改密码，或者，提示用户相关的风险，让用户自行决定是否须要修改密码。然而 GitHub 登陆后并无任何修改密码的提示，也没有邮件通知。只在博客里提到为了确保安全，用户能够修改密码，撤销已有的应用受权等等。大约是考虑，不太在乎安全的用户，没必要提示什么。真正关心安全的用户，会到博客寻找相关信息的吧。

技术上，提示用户修改密码很容易作到。阿里、GitHub都有双因子认证这样的功能，这说明它们都把自身看出是对安全性要求很高的站点，然而却并不提示用户修改密码。我想，这大概是有技术以外的一些考量。

阿里、GitHub只是举例。个人邮箱里，没有一封通知修改密码的邮件。