F12是一个神奇的按钮。有些网站默认禁用键盘,网站内容无法复制。有些网站总是弹窗要求注册,可以用F12解决。对于开发者来说,F12更是神器。使用F12是正常操作。然而,最近在密苏里发生了一件荒唐的事情。记者使用F12发现了网站漏洞,提交给维护该网站的政府教育部门。结果,它被驳回起诉,指控其黑客行为。据ArsTechnica报道,《圣路易斯邮报》记者在密苏里州中小学教育部维护的网站上查找教师资格证书。一时兴起,他按下了F12,查看了网站的html源代码。安全漏洞暴露了教师和其他学校员工的社会安全号码(SSN)。该网站允许用户查看密苏里州教师资格证,只需输入姓氏的后四位和社会安全号码,就可以查询到相应的教师资格证。但是,由于这个安全漏洞,查询者可以很容易地在html源代码中查看到完整的社保号。密苏里州法律严禁公布和披露社会安全号码。令人意外的是,当记者将此漏洞报告给负责维护的教育部门,并承诺在修复期间不对外公开该漏洞时,记者竟遭到了密苏里州政府的起诉。首先,他们关闭了对该网站的访问,然后召开了新闻发布会,表示他们将起诉发现该漏洞的记者。州长放下狠话:“这位记者试图让国家难堪,为了登上头条新闻不择手段。”他还表示,政府不会成为新闻媒体的棋子。政府将惩罚任何入侵我们系统的人,并追究所有帮助此人的人的责任。位于圣路易斯的密苏里大学网络安全教授ShajiKhan也因帮助记者验证漏洞而受到调查。事情一出,外国网友纷纷吐槽。有人说:“真正的黑客从不使用F12,而是使用Ctrl+Shift+i”。有人开玩笑说,“如果你使用的是Windows,请按cmd-u或ctrl-u,恭喜你,你现在是精英犯罪黑客了。”这不是美国政客开的第一个关于IT领域的玩笑。早在2018年Facebook隐私门事件期间,扎克伯格出席美国参众两院听证会时,来自参议院的提问暴露了他们对IT的无知。比如参议员奥里昂哈奇问扎克伯格,“Facebook不是免费的吗?你是怎么赚钱的”等等。一些参议员也提出了很多他们认为很有建设性的建议,比如用户是否可以将自己的数据从Facebook转移到其他平台等等,结果Facebook已经这么做了。Web安全确实不分国界。美国是这样,中国的一些开发商也是如此。手机号、密码、账号等数据要存入数据库,有些“开发者”不知道是自己技术有限,还是图省事,还是甲方尾款还没到,所以他们直接把这些敏感数据写在html代码中间。一位开发人员曾经做过一件非常奇怪的事情。他直接把用户账号和密码写在html代码里,然后判断用户数据的账号密码和代码里的是否一样,从而验证密码是否正确。对于密苏里州州长的行为,我真的很想给他一份《HTML CSS JavaScript网页制作 从入门到精通》。
