开发Firesheep窥探工具的安全研究人员今天为自己的工作进行了辩护,称人们在电脑上运行什么软件无关紧要。
他还批评微软在其杀毒软件中增加了对Firesheep的检测。公司的这一举动“审查”。
一个多星期前发布Firesheep的西雅图Web应用程序开发人员Eric Butler周二在他的博客上反驳了有关该工具,或者更准确地说,使用该工具是不道德的,甚至可能是非法的说法。
Firesheep,是Mozilla火狐浏览器的一个附加功能,可以识别在开放网络(如咖啡店的公共Wi-Fi热点)上访问不安全网站的用户。在Firesheep中双击可以让它的处理程序立即访问其他访问帐户推特和脸谱网,以及许多其他流行的网站。
法律专家意见不一一些人认为,用它来劫持账户违反了美国联邦窃听法,而另一些人则持不同看法。所有人都同意,这项法律在法庭上“悬而未决”。
其他人说有几乎没有机会巴特勒可能会因为分销Firesheep而面临指控,因为创造这样的工具并不违法。
巴特勒今天基本上说了同样的话,只是用了更强硬的语言。“没人管你能不能在自己的电脑上运行什么软件,”他说。他指出,Firesheep可以用于合法目的,包括安全测试。
“一个更恰当的问题是:‘未经许可进入别人的账户合法吗?”他写道。
巴特勒再次表示,他创建Firesheep是为了提高人们对那些不加密用户和网络服务之间所有流量的网站的认识。“就像我之前说过的,我反对那种认为火羊之类的东西会把无辜的人变成坏人的想法,”巴特勒说。
乔·德马科(Joe DeMarco)说,从法律的角度来看,巴特勒的理由毫无意义。德马科曾是美国助理检察官,现在是纽约德沃尔·德马科律师事务所(DeVore & DeMarco LLP)的合伙人。“动机不是辩护,”德马科说。“你不能抢劫银行,然后把钱给挨饿的人。你不能制造出某种东西,然后用“但是人们不应该用它做坏事”作为辩护。但动机在检察官的裁量权中确实起作用。”
对于后者,德马科的意思是,检察官不太可能追究巴特勒或任何其他黑客工具的制造商。
到目前为止还没有。德马科说:“我还不知道有任何联邦政府因开发能让你登录到其他账户的软件而受到起诉。”“几乎总是有其他因素在起作用。”
巴特勒也采取了微软该公司将Firesheep检测功能添加到杀毒软件中,包括免费的消费者软件Security Essentials,以及各种企业级安全程序。
巴特勒认为,微软发现Firesheep是恶意软件,侵犯了用户的信任。
他说:“通过安装防病毒软件,你授予了第三方从你的系统中删除文件的能力,他们相信只有恶意代码才会成为目标。”“微软和其他杀毒软件供应商滥用这种信任,声称他们认为你应该或不应该对你的电脑做什么。”巴特勒还抨击苹果的应用程序商店是他所谓的“审查”的另一个例子。
“法典是一种言论形式,言论自由必须得到保护,”巴特勒断言。“如果微软想通过审查来提高安全性,首先屏蔽那些暴露用户信息的不安全网站将是更合适的做法。”
微软的Firesheep检测清单非常简洁,没有包含任何技术信息,也没有详细说明它的安全软件在嗅出数据包嗅探器时会做什么。微软没有立即回应有关其安全软件在遇到Firesheep时会采取何种行动的问题。
一些人在巴特勒的博客上留言,同意他的观点,其他人则不同意。
“埃里克[巴特勒]所做的是公开暴露并促使人们意识到一个重要的安全漏洞,许多大型网站多年来故意忽略了这个漏洞,”一个名为“swindsor”的人在周二发布的一篇评论中说。
“有时候在你的电脑上运行什么软件是政府的事,如果某件事的唯一目的碰巧是非法的,那么说软件本身是非法的是有道理的,”反驳“instrum3nt”。
巴特勒和他的同事伊恩·加拉格尔(Ian Gallagher)在10月24日的ToorCon安全会议上主持了一场Firesheep演讲,他们过去曾拒绝过《计算机世界》的采访请求。加拉格尔在上周的一封电子邮件中表示,他们计划利用巴特勒的博客来回答媒体的询问。
巴特勒没有回应今天的另一个额外的评论请求。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这个故事,“火羊不邪恶,说窥探工具的制造者”最初是由《计算机世界》 .