在互联网领域，网络安全事件的频发，已经成为人们关注的焦点，最近一段时间内，也发了很多重大网络安全事件。

　　我说的不是类似Heartbleed、BadUSB、Shellshock这种天灾级别的漏洞，面对这类漏洞，普通用户就像面对台风海啸一般，无法抵御。

　　我想说的是iCloud艳照门，Snapchat艳照门、Yahoo邮箱用户资料泄露以及最新未证实的Dropbox用户资料泄密事件，它们属于人力可挽救的事故。这些公司大多不在中国，但具备一种典型意义。换句话说：讨论它们，也能对国内产生借鉴意义。

　　你会发现，这些什么门啊、泄密啊，其实都有共通之处。那就是：厂商声明，此事与我们无关，应该都是用户的错。或者弱密码，或者滥用第三方应用，或者直接不知情。

　　iCloud艳照门，原因评估是因为用户弱密码，通过iCloud上可以用脚本程序反复测试直接获得正确密码；Snapchat艳照门，原因评估是用户在使用一个名为“Snapsave”的第三方应用，这个应用可以保存Snapchat上的“阅后即焚”照片，它的数据库被黑客攻破，从而导致照片泄露；Yahoo邮箱是一起较早的事件，由于对某个漏洞修复不完全，导致黑客的二次利用；Dropbox则还没有更准确的信息。

　　坦白的说，这些问题就厂商而言，确实直接责任不大（Yahoo的例外）。但对用户轻飘飘一个声明，于情于理都说不过。我以为有更好的做法。

　　用户端安全机制的增强。

　　在iCloud艳照门后，苹果为Apple ID开启了两部认证。如此后，每次登陆iCloud除密码外还需要设备验证或者短信验证。这个功能是极好的，但苹果只为美国等少数几个国家开启了这一功能，并且只作为安全项的一个补充项，并不是全局性质的默认推荐。苹果只做一半的做法很显然不合时宜（Washington Post对此也颇有微词），像Google、Alipay、QQ等多家服务型巨头这方面就做的不错，包括“安全设备”、多重验证、令牌环、密码多次输入错误后停止登陆等等，苹果显然还处在这些厂商的早期状态，对此意识不强。

　　第三方生态安全的增强。

　　这次的Snapchat事件，是一个第三方应用的问题，据说最近还有几家也遭遇了这个问题。这很是凸显生态安全。我以为，第三方授权安全是绝对需要注意的。来看看QQ的例子，在前两年腾讯下大力气，将国内有名儿的QQ插件全封杀并告知法律风险。这件事虽然有些霸权主义，但很值得做，因为聊天软件不保证安全那是对用户的伤害，当然更大气的做法是做插件生态，这个事儿不多讨论。Snapchat艳照门事件，显然是因为Snapsave通过bug从而拿到更高权限，从而保存了本该本销毁的照片。插件生态的安全性需要时刻警惕，特别还是这类聊天类高敏感的应用。

　　整体安全的增强。

　　Yahoo和未证实的Dropbox事件，是因为被入侵从而丢失用户资料。这两家公司，一家太沉闷一家太新，因而没有针对自身安全的漏洞奖励计划（Yahoo Mail泄密发生在2012年末，Yahoo漏洞奖励计划在2013年末发布）。漏洞奖励计划是厂商对自身漏洞发现者给与一定奖励，从而可以最快了解漏洞并修复，这是业内的一种成熟做法：当白帽能从你手中获得收入，黑客就会更难入侵。但在这之外，像苹果、Snapchat这类安全频发的公司也同样没有漏洞，这是非常令人可惜的。