维基解密式服务安全性存忧容易

《华尔街》周四推出了爆料站SafeHouse，承诺它可以让消息源与《华尔街》安全地分享信息。但部分安全专家却表示，这个以维基解密为灵感打造的站其实到处是安全漏洞。在SafeHouse站上线数小时后，便有安全专家指出了该站在保护匿名泄密者以及消息源保护政策细节上的诸多漏洞。安全研究人员雅各布阿佩尔鲍姆(Jacob Appelbaum)在其Twitter的消息中写道：提示：如果你打算创建一个泄密文件的站必须要有线索!

阿佩尔鲍姆是匿名站Tor的开发者，还曾是维基解密的志愿者。他说，SafeHouse执行安全套接字层(SSL)加密技术的做法不安全，这项技术用于确保用户与站之间传输的数据无法读取。例如，当用户访问址时，这个未加密的站会提供该站加密版HTTPS的链接。

但阿佩尔鲍姆指出，它没有采用一种名为强制安全传输(Strict Transport Security)的机制，将不安全的信息转变为加密连接。所以，用户络中的潜在中间人就能通过SSL Strip这样的工具，在流量事实上未受保护的情况下，进入SafeHouse站的加密版。

不会影响机器的运转 据阿佩尔鲍姆介绍，SafeHouse站SSL服务器可与缺乏专业人员所称完美前推安全(perfect forward secrecy)的多种加密格式建立联系。阿佩尔鲍姆说：这意味着任何带走服务器或成功入侵系统的人，都可以破译以前所有的流量。实际上，维基解密站本身也无法始终不露任何破绽地操作SSL这样的安全功能。

去年6月，由于维基解密未能及时更新其SSL证书，该组织的站曾临时关闭。但即便SafeHouse的技术可以得到安全执行，其服务条款仍存在漏洞，让那些没有使用独立匿名软件或未通过正式保密认证的消息源泄露身份。