web安全：Web 2.0对常人来说很危险

　　毕竟，安全行业的每一个人对征服这天空正在下坠的世界有着巨大的兴趣;这就是为什么那么多人投资并从事于安全事业了。

　　然而，Stamos没有赞扬安全行业而是否定了它存在的意义，或者说至少给了整个安全行业一记耳光。

　　"安全行业并不能保护你，"他补充说，安全行业"需要从自身寻找原因和问题所在"。

　　他说，经过了几十年的计算机安全工作，问题变得比原来更加糟糕。发现bug后将其广而告之给用户其实不见得能使人们使用互联网更安全。同时，那些致力于研究开源代码的免费静态代码分析器的安全研究人员，也没有借此对人们起到帮助作用。并且每个解决方案都变得十分昂贵，市场上的产品已经达到了50万美元的价格。

　　他怀疑计算机安全代码师是否值得被称为工程师。他说："没有哪个工程技术专业允许出现那么多的失误。"他暗喻这些安全研究人员为"安全艺术家"。

　　他还敦促程序员停止编写那些不安全的语言，比如C和C++，除非他们将其用于编写操作系统的用途。"大部分人的聪明程度都不能编写安全的C语言。"他说。

　　他对那些正确使用计算机语言编写出安全程序的企业提出了赞扬：Adobe (NSDQ: ADBE), Google (NSDQ: GOOG), Microsoft (NSDQ: MSFT), Oracle (NSDQ: ORCL), IBM (NYSE: IBM)和Mozilla。但是他说，人们编写的多数软件都是为了企业内部使用，并没有足够严格的安全过程。

　　"软件的好转只反映了整个生态系统的一小部分，并没有说明整个行业的好转。"他说。

　　就像只有40%的计算机运行Windows XP系统一样，不是任何程序都有现成的补丁可用。他说，计算机行业应该向Google的Google Desktop学习：强迫用户进行更新。

　　根据最近华盛顿发布的消息，持这样的观点的不只Stamos一人。华盛顿邮报报告称，美参议院立法者正在通过立法建立政府和重要基础设施运营商私营部门的强制性的计算机安全标准。如果这一政策得到使用，人们将不必再遵守美国联邦对安全的规定。

　　在谈到最近在core Internet systems、协议(如DNS, BGP, SSL)以及新型攻击技术(如JavaScript heap spraying、Flash攻击和clickjacking)中发现的安全漏洞后，Stamos预测到了一个黑暗的未来。

　　他预测，随着大规模的数据破坏事件的发生，今年年初重压下的Heartland Payment Systems(HPY)公司将会崩溃。SHA-1加密将会很快被打破，而且当地的认识将导致悲剧缠身。

　　他还表示，在社交网络上双重认证对信息的保护能力十分有限，因为网络犯罪分子将可发现大量的个人隐私信息，比如你妈妈的婚前姓名，你的出生地等等。

　　他建议人们应该做好"后个人隐私"和"后安全社会"的准备。

　　"这是人们成为妄想狂的最好时机，"他得出结论，"这个社会没有能力捕获你。"