Valve回應對Steam安全擔憂的疑問 稱其固若金湯

Valve制作了新的安全網頁回應一封對Steam安全性顧慮的公開信，向廣大擔憂的開發(fā)者和“憂慮公民”報導其處理過程，但同時稱不準備引入“bug報告獎勵項目”。

公開信中開頭提到Valve并沒有正式的報錯獎勵系統(tǒng)，取而代之的是“稀有的物品獎勵”賞給那些發(fā)現(xiàn)bug的人們。

信中擔憂此舉會使玩家更關心 “報告無關緊要的bug”來獲得獎賞，比如《軍團要塞2》的周邊帽子，而并非關注真正嚴重的危害性極大的漏洞，甚至為了得到獎勵而謊報。

信中還對不完備的錯誤報告系統(tǒng)表示擔憂。例如在處理“心血漏洞”安全威脅的問題上，Valve竟然花了整整24小時來修補公司服務器。這對于“數(shù)以百萬計的用戶和合作伙伴的敏感數(shù)據(jù)”造成了非常嚴重的威脅，無法令人接受。

在此期間Valve甚至沒有要求用戶更換密碼，從而導致幾天之后Steam合作方證書被“曝光和侵犯”。

盡管如此，公開信稱：“Valve對此事件沒有任何公開解釋。我們非常不滿。”

“我們堅信Vavle依然不肯建立一個完整清晰的安全報錯機制，Valve將它們自己，它們的顧客和合作伙伴推至一個非常危險的境地。”信中總結道，“我們都是Valve的粉絲，我們的最終目的是希望Valve能夠為顧客和產品創(chuàng)建一個方便的、安全的平臺。

Valve在昨天回應稱它們”十分嚴肅“地處理Steam安全系統(tǒng)的問題，堅信系統(tǒng)“固若金湯”，不過隨即稱他們并沒有將所有處理細節(jié)公之于眾。

建立新的安全頁面是為了讓大家明白提供解決bug的辦法并不是件好事。同時保證所有bug的報告將均被認可。

Valve同時披露稱由于不同的隊伍在處理不同的bug報告，所有在解決報告中出現(xiàn)了不連貫的問題。“對于Steam團隊來說我們表示十分感謝接受這些報告，但我們不會提供正式的bug報告獎勵。”回應中稱，“其它團隊，例如《軍團要塞2》來說做法可能與我們有異。”

Valve強調稱政策不會禁止用戶報告bug或者安全漏洞，而能保護用戶免受更多問題。“我們會采取更進一步的措施來防止一些人蓄意破壞。”回應中寫道，“我們希望合作伙伴和安全問題研究者小心地負責任地行事。”

這讓人想起當年《歐洲卡車模擬2》開發(fā)者Tomas Duda的經歷。他因為通過重導用戶進入“哈林搖視頻”而“報告”在社區(qū)中有安全漏洞而被Steam拉黑。他宣稱那時自己非常受挫，因為那份bug報告在發(fā)布幾個月后被無視。

“我好幾次和他們說起這份腳本中有嚴重的漏洞。沒人處理。所以我現(xiàn)在用這段視頻搞笑一下。”

Duda在隨后而來的禁令中解釋道，“想象一下如果別人利用此漏洞來盜取用戶信息身份會是怎樣的結果。”

Duda之后被解除禁令。他的經歷更加突出了Valve處理此類問題的不連貫性。

我們從Valve的回應中只看到一個承諾，而對于鏈接的漏洞問題并沒有很明確的改動。

公開信的作者將這封信描述為“踏向正確方向上的一步”，但也提及有些問題并沒有闡明清楚，并稱這封信將會隨著與Valve的溝通，不斷更新直至信中的方案可行為止。