国内公司对于安全的态度

最近媒体报道了国内一家企业的安全问题，遭到安全勒索，国内企业的回复是不给钱，不给钱是合理的，对方勒索是违法的。我就顺便看了这家国内网站的登录页面，也就简单看了下，没做任何登录动作，发现其有几处明显违背了安全开发设计原则的地方，很有可能被别有用心的hacker利用。于是我好心的发了一封不署名没有任何要求的提醒邮件，后来没接到回复，也就没管了，2个月后又看了下这个登录页面，发现问题还在，仍然可以被利用。

另一个例子，国内某安全企业的网站居然可以允许http访问，关键是该网站是有https访问的，我猜想是没有启用https的HSTS，作为为别人提供安全支持的安全企业有点说不过去了。我也邮件善意的提醒了下，无所要求回报，结果也是石沉大海，还是没有改正。

后来想想自己是自作多情，人家有让你检查吗？自己闲着蛋疼啊，你又无所求无所图，做这种“热脸贴到冷屁股”的事干嘛？同时也说明国内公司大部分完全不注重安全，花大笔钱做广告和公关，却不愿意花钱提高安全性，你免费善意给提安全建议，对方又可能觉得你是在给挑刺，觉得不爽，反倒讨厌你这人。国内的安全难做啊，我觉得国内不太可能有真正的高水平安全公司，国内的安全令人堪忧，有技术的人建议还是做开发吧。