安全世界观:互联网本来是安全的,自从有了研究安全的人,就变得不安全了。
所有的程序本来也没有漏洞,只有功能,但当一些功能被用于破坏,造成损失时,也就成了漏洞。
我们定义一个功能是否是漏洞,只看后果,而不应该看过程。
计算机用0和1定义了整个世界,但在整个世界中,并非所有事情都能简单地用 "是" 或者 "非" 来判断,漏洞也是如此,因为破坏有程序轻重之分,当破坏程序超过某一临界值时,多数人(注意不是所有人)会接受这是一个漏洞的事实。但事物是变化的,这个临界值也不是一成不变的,"多数人"也不是一成不变的,所以我们要用变化的观点去看待变化的事物。
泄露用户个人信息,比如电话、住址,在以前几乎称不上漏洞,因为没有人利用;但在互联网越来越关心用户隐私的今天,这就变成了一个严重的问题,因为有无数的坏人时刻在想着利用这些信息搞破坏,非法攫取利益。所以,今天如果发现某网站能够批量、未经授权获取到用户个人信息,这就是一个漏洞。
漏洞只是对破坏性功能的一个统称而已。如果定义漏洞,可以换一个角度看,看看是否 "应该修补"。