如果说今天有什么事情比较热闹的话,那么应该就是支付宝爆出密码漏洞这件事了吧。不得不说这次的这个漏洞的产生和暴露是支付宝长期以来以产品经理为导向开发软件的恶果,也是支付宝这个品牌在金融方面的一次重大打击,更是阿里巴巴希图利用支付宝打开社交窗口的一个失败。这次漏洞虽小,但其中所折射出的问题,却不容小觑。
虽然支付宝在最短的时间封杀了这个漏洞,可是如果真的有人利用了这个漏洞,那么对于用户的损害也是颇为巨大的。因为支付宝已经修正了这个漏洞,所以我们可以放心大胆的进行讨论而不用担心会伤害到其他人了,在这一点上我要表扬支付宝,别的不说,他们对BUG的处理速度还是值得肯定的。
这个漏洞的原理非常简单,就是如果你知道好友的登陆账号,那么你就可以轻易使用好友在支付宝当中的金钱了。你首先要在支付宝当中输入好友的登录账号,然后在登陆的时候,选择“忘记密码”选项,这个时候支付宝会验证用户的手机,但是这里有一个“无法接收短信”的选项,如果你选择了这一项,那么支付宝就会从你的好友当中随机抽取几个作为验证你身份的方式,如果你和你朋友的社交圈差不多,就很容易回答这个问题,接着支付宝会问你的常用地址,如果你的好友与你都是本地人的话,这个问题也是形同虚设的。但是到这一步,你就可以重置你好友的密码了,虽然支付宝还有支付密码的限制,但是支付宝可是有免密付费的功能,只要开启了这个功能,那么所谓的支付密码也就形同虚设了,这难道不恐怖吗?
这次这种完全没有技术含量,但是杀伤力十分惊人的漏洞,如果没有被爆出,或者在爆出前就被其他人利用来盗取资金的话,那么对支付宝一直以来的安全信用打击是非常巨大的,因为这个漏洞完全不需要什么技术含量,只需要两人的社交圈差不多就够了,而对于大多数人来说,自己与一些朋友的社交圈其实没什么区别。这种浅显的道理我不相信网络安全专家全都忽视了,如果他们连这种大众化的问题都忽视的话,又怎么能称为网络安全专家呢?我相信阿里这样的网络安全巨头是不会忽视这个问题的,那么为什么会出现这种低级的逻辑漏洞,原因之一很简单,就是阿里一直以来所运行的产品经理负责制。
其实这个模式很难说不好,因为很多公司都是这种制度,比如各种销售公司以及活动推广公司、广告公司等等。因为正是有了专业而强大的产品经理,才能够带领公司的主要业务快速前进,为公司赢得更多的用户。然而像阿里这种互联网巨头,手握众多资源与信息的公司,还采用这种一切以效益为先的产品经理负责制,未免有些恐怖。因为产品经理负责一种产品,一定会不自觉的陷入效益最大化的状态,而这对于技术含量较高,需要有长期规划的互联网企业伤害是巨大的。因为你不会知道这些产品经理为了效益会把用户的信息和资源用到哪里,这次的漏洞就是很明显的一个例子。
我相信从事专业网络安全的专家一定不会让一款需要高规格安全的金融软件存在这种问题。因为这不仅涉及到用户的利益,对于公司的长远发展也会有很大的影响。但是在产品经理看来,一切用户使用体验不佳,用户感觉麻烦的功能都必须要简化,哪怕它对安全多么重要,因为你不简化这些功能,用户使用就不开心,用户使用不开心,用户就会更少的使用这个软件。再加上现在正是阿里与腾讯抢夺金融与社交入口的时候,一点点差错都会导致竞争的全面失败,所以产品经理才会选择这种做法,然后,造成严重的后果。这种后果不是程序员的责任,然而我猜,这次要背锅的,很可能还是程序员。唉,悲剧的程序员……
这次漏洞所暴露出的另外一个问题,就是支付宝一直以来在与微信对抗当中出现的缺陷,就是社交。其实对于一般人来说,他们绝不希望自己的金融工具有什么社交的功能,因为自己的财产和金钱,其实也是个人隐私的一部分,将自己的财产与其他人连接起来,我不知道怎么想,反正我个人感觉很奇怪。而且自己的金融软件加入了社交,让我感觉无论是借钱还是还钱都变得更加可怕了,现在的我已经不会在支付宝里面放任何钱了,如果需要用钱的话,我宁愿用银行软件向支付宝转账,我也不会给支付宝开任何通道,因为我担心,一不留心我的钱就变成了别人的钱。
而这次很不幸的,我的担心成为了现实,虽然我没有因为这个漏洞损失什么,但是我相信一定会有人与我有同样的想法,那就是支付宝,这个由产品经理主导的软件,已经不再像它宣传的那样安全,也许下一个小小的漏洞,就会让我在支付宝当中的钱消失的无影无踪。也许支付宝会给我赔偿,但是我不想浪费那个时间。
所以支付宝,对不起,虽然你很好用,但是你很可怕,我们可以说再见吗?
