【IT168 资讯】在云计算成为人们热议的技术趋势的同时，其更多的安全黑洞也逐渐被曝光，这次曝光者是网络安全专家Russ McRee，他演示了某云计算服务提供商的一个安全缺陷是如何让其众多客户处于风险之中的。

　　这次被曝光的厂商是软件即服务(SaaS)提供商Baynote，该厂商针对技术、电子商务和其它类型的网站提供搜索和其它网络服务。McRee发现在Baynote的社会搜索功能中存在一个XSS(跨站脚本)错误，利用该缺陷可以实现对大量使用该功能的客户的攻击。

　　（小贴士：什么是XSS攻击？XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。）

　　该漏洞可以被黑客轻松利用，根据McRee公布的视频(http://www.holisticinfosec.org/video/baynote/baynote.html)显示，加利福尼亚州米尔皮塔斯的主机总线适配器厂商LSI Corporation和数据管理厂商NetApp是两家受该漏洞影响的Baynote客户。

　　McRee强调称，Baynote迅速回应并修复了该问题。但是他的发现指出了云计算的潜在致命弱点：一个厂商存在的单点故障可以影响其众多客户的安全。

　　他表示，“即使SaaS厂商仅有一个漏洞，可能是一个Web应用缺陷，也可能是网络安全中的一个疏忽，或物理安全的一个失误，它的客户全部会遭受安全风险。企业安全性强度取决于其最薄弱环节，如果让其它人来为你管理这个环节，在将你的企业与其联姻前必须考虑到安全问题。”

　　在此之前，安全专家已经多次警告企业“不要将所有鸡蛋放在一个篮子中。”今年1月份，Salesforce.com的宕机曾致使其90多万客户无法访问自己的关键数据，也证明了依赖一个提供商的安全风险。

　　当然，这类安全问题并非只有云计算才会碰到，但是企业不能将SaaS看作功能较多的，必须对提供商的安全性进行适当关注，正如McRee所提到的，软件即服务厂商至少应该提供比传统产品厂商更高的安全防护标准。

　　云计算安全亟待考验：
　　2009年云计算将引发一场黑客攻击高潮
　　虚拟化技术、云计算和其他新兴技术的大受欢迎同样也吸引来了黑客的注意力。据安全厂商AppRiver称，2009年云计算将掀起一股黑客攻击的热潮。尤其是企业可能要面对这样的风险，因为他们需要这些新兴技术来帮助他们在经济衰退期间削减成本，AppRiver高级安全分析师FredTouchette这样表示。【详细】

　　谷歌云计算8大关键问题
　　谷歌、微软、雅虎……差不多每个科技公司都在竞相推出云计算，这无疑是件好事情，意味着更为轻便的客户端和存放在服务器上供全球任意地点用户访问的数据，我们只需要一个网络浏览器而已。【详细】

　　云计算来临之时 应该未雨绸缪安全问题
　　云计算也许是一大批技术时髦词语当中最走红的，但它已经在公司企业和众多消费者当中广泛使用。更令人吃惊的是：使用云计算的人大多数并没有意识到这一点。【详细】

　　其他观点：
　　现在是否对云计算安全问题有些担心过度？
　　有关人士认为，数据安全对企业来说当然是至关重要的问题，但是用户需要切合实际地将自己现有的数据中心条件与云计算服务提供商的安全水平作比较。“实际上，人们对云安全的许多指责是感情用事，”Accenture公司云计算总监JosephTobolski说，“有些人列举出了很多基于云计算服务的安全需求，而实际上，他们的数据中心尚没有达到满足这个需求的地步。”【详细】