Sau khi cô giáo đăng bài về Cốc Cốc thì nick facebook “Hieu Phan” có inbox để phản hồi. Dưới đây là nội dung trao đổi khách quan, còn nhận định bản chất thế nào xin nhường cho các em nhé ;-)
Hiếu Phan: Chào anh, tôi là Hiếu Phan, là head of browser của Cốc Cốc. Ở trong bài viết này, anh có chia sẻ là Cốc Cốc không mã hoá dữ liệu người dùng nhập vào, tôi xin đính chính lại như sau:
1. Dữ liệu truyền đi đến máy chủ cốc cốc đã được bảo vệ bằng giao thức HTTPS.
2. Từ bản Cốc Cốc 68, là bản người dùng sử dụng rộng rãi bây giờ, nội dung cũng đã được mã hoá. Không hacker nào có thể xem được nội dung này.
Với 2 lớp bảo mật trên, tôi tin dữ liệu người dùng đã thực sự an toàn. Xin cảm ơn anh.
(?) Theo bạn nói thì từ bản CC68 nội dung đã đc mã hoá, tức là các bản trước không được mã hoá?
Các bản trước thì truy vấn đến máy chủ đã được mã hoá và bảo vệ bằng giao thức HTTPS
(?) Ở trên kia bạn nói CC68 cũng đã mã hoá. Mình muốn làm rõ chỗ đấy?
Từ bản 68, ngoài HTTPS, Cốc Cốc còn mã hoá cả nội dung được gửi đi
(?) Vậy tức là phiên bản trước khi CC68 ra đời thì nội dung không được mã hóa, mà chỉ bảo mật bằng việc gửi thông tin đến server qua giao thức https đúng không?
HTTPS là một giao thức khá mạnh rồi!
(?) Nếu HTTPS là một giao thức mạnh, vậy tại sao từ CC68 lại phải thêm thao tác mã hoá nội dung trước khi gửi đi?
Vì Cốc Cốc muốn bảo vệ dữ liệu của người dùng tốt hơn.
(?) Tại sao các phiên bản Cốc Cốc trước khi áp dụng quy trình này? Là do phía Cốc Cốc không nghĩ đến việc dữ liệu có thể bị xâm phạm hay do chịu áp lực từ cộng đồng mạng?
Bản CC68 đã được release [phát hành] từ tháng 12/2017 rồi.
(?) Tại sao đến thời điểm tháng 12/2017, Cốc Cốc quyết định “chồng” thêm thao tác mã hóa nội dung trước khi chuyển đến server? Có phải đấy chính là thời điểm có thông tin trên thế giới về việc giao thức HTTPS có thể bị bẻ khoá phải không?
Vâng a, Cốc Cốc muốn đề phòng trường hợp HTTPS bị hack!
(?) Khi có thông tin giao thức HTTPS có thể bị hack, Cốc Cốc có báo động cho người dùng ở thời điểm ấy không hay chỉ âm thầm phát hành phiên bản mới?
Bản thân Cốc Cốc tự nhận thấy HTTPS có thể bị hack và đã chủ động hạn chế rủi ro cho dữ liệu người dùng đến mức thấp nhất có thể.
(?) Trước thời điểm Cốc Cốc phát hành phiên bản mới thì hacker đã có thể tấn công khai thác lỗi HTTPS này và lấy được rất nhiều dữ liệu nhạy cảm của người dùng. Tại sao Cốc Cốc không thông báo rộng rãi cho họ để họ tự bảo vệ mình? Thí dụ như việc thay đổi các thông tin nhạy cảm đã lỡ nhập vào các ô nhập liệu của Cốc Cốc trong khoảng thời gian dài trước đó chẳng hạn?
Đến bây giờ, cốc cốc chưa ghi nhận trường hợp nào bị mất dữ liệu qua tính năng spell checker cả.
(?) Nếu người dùng nào đó bị mất dữ liệu, làm sao Cốc Cốc ghi nhận được? Họ đâu biết mình bị mất, và cũng đâu biết mất do tính năng spell-checker của Cốc Cốc để đi báo cáo?
< không trả lời >
(?) Vào tháng 4/2014, một lỗi rất nguy hiểm liên quan đến SSL là heartbleed đã xuất hiện. Thời điểm ấy Cốc Cốc có nghĩ tới việc nâng cấp thêm tầng bảo mật cho tính năng spell-check không, hay đến thời điểm tháng 12/2017 khi thông tin về giao thức HTTPS có thể bị hack thì các bạn mới quyết định nâng cấp tính năng này?
Việc nâng cấp là việc làm chủ động của Cốc Cốc. Còn khi những lỗi bảo mật xẩy ra, chắc chắn Cốc Cốc cũng đã có những action để sửa lỗi nhanh nhất có thể.
(?) Cảm ơn bạn, mình sẽ đưa trung thực các thông tin phản hồi của bên bạn. Chúc Cốc Cốc luôn là sản phẩm chất lượng của người Việt nhé.
Nguồn: Facebook Nguyễn Ngọc Long