在知乎看到一贴在讨论miui发布的Wi-Fi 分享功能,有人为之叫好,说这样很方便使用wifi,也更有利于wifi普及。但大部分人对这功能并不欣赏,认为对wifi安全无益。
在表达我的观点之前,先简单描述下这一功能。
一个miui用户经过授权访问了加密了的A wifi热点,可能是找咖啡厅服务业问的,可能是到朋友家做客时问了主人,也可能是到某合作公司开会时问了对方公司的IT,总之,这个用户是经过授权以后使用了这个热点。接着,他可以在miui中通过一个按钮把这个wifi的登录信息(ssid、加密类型、密码等)分享到网络上,准确说,分享给小米的服务器。他也可以以二维码的方式把这些信息分享给其他朋友。其他miui的用户如果拿到了二维码,扫描以后就获取了登录信息,就可以通过身份验证登录A wifi热点。其他用户也可以通过小米的服务器分享的登录信息,登录A wifi热点。详细教程请见:传送门
起初我挺认同“方便说”的观点,本来嘛,我可以把这一wifi的登录信息分享给别人的前提是,我已经拿到了这些信息。我把我知道的东西告诉给别人,方便别人,这不是挺好的么。
突然,我意识到一个问题,这个过程好像和安全中的二次授权,有点类似。
作为wifi热点的主人,可能是咖啡店老板,可能是自己家,可能是某一企业,我授权甲用户访问我的wifi,并不意味着我允许他绕世界的广播我的wifi密码,更不意味着我允许更多与甲用户有关系,但与我并没有关系的用户访问wifi。简单说,甲用户拿到了wifi使用的授权,但他并没有权利对其他人授权。
举个最极端的例子吧,我和甲是好朋友,我把我家里的钥匙给了他一把并允许他来做客,但如果他把我家的钥匙配了无数把然后满大街的发给陌生人,你觉得是不是很恐怖?
很显然,这是一个道德问题。
对企业来说,这也是一个极其严峻的问题。据我所知,很多公司的wifi都会设置密码,仅限公司员工使用。同时,为了确保信号稳定,AP的功率都很大,覆盖面积远远超出公司范围,附近的其他公司员工、路人都可以搜索到信号,如果被员工用miui这么一共享,周围的人都可以接入公司内网了,这该是多么恐怖的一场安全事故。
有人说,企业内部的wifi就应该除了用密码做身份验证以外,还要绑定mac地址。说这种话的人就应该左右开弓抽一千四百个大嘴巴。你特么做过企业的IT么?你特么知道面对约2000个用户要在一夜之内统计并绑定他们的mac地址是多么痛苦的工作么?
另外,小米的服务器搜集了32万“公共场所wifi密码”,他能保证这些数据的安全吗?如果被人盗取怎么办?这么大的数据量,恐怕很多人家的wifi密码都会在此之内吧,如果被人拿来做穷举被攻击,小米是不是应该承担责任?
补充:
作为普通用户不要高兴的太早,觉得有了这东西就很爽。当你发现有一天你客厅的wifi莫名其妙多了好几个陌生用户连进来并且在你在线看电影时疯狂BT下载时,当你自己发现你通过自己家的wifi上网却被别人偷走了网游、邮箱的密码时,当你通过自家wifi访问淘宝却是登录了一个虚假的钓鱼网站时,你还会高兴的起来么?这一切仅仅因为你的一个miui的朋友访问过你家wifi。
从这项功能看,小米公司为了自己用户的利益,简直没了下限。节操啊,就这么碎了一地,跟饺子馅似的。
