为什么我总是在黑「黑客」

和一些人从「黑客技术」入门计算机不同，我似乎从一开始就对所谓黑客技术没有什么兴趣。一开始当我刚刚听说黑客这个词的时候，因为大多数人对黑客精神的崇拜，我也对黑客这个称呼心存敬畏，但当我掌握了更多的知识，接触了更多的人和事之后，越发觉得黑客技术并不高端，黑客也不值得敬畏。在最近两年，黑客被洗白成了「白帽子」，入侵被洗白成了「信息安全」，一开始我觉得这似乎还是个好现象，但后来我觉得这其实也不见得有多少正面意义。

无论在哪里，只要提到黑客这个词，总有一批人跳出来为黑客洗白，而且会把黑客洗成「黑帽子」，「白帽子」，「骇客」，「红客」或者其他各种颜色。我觉得这样挺无趣的，有太多的词已经不是它本来的含义了，而且黑客这个词很模糊，总是被用来制造神秘感。如果是为了显示自己的专业性，介绍自己的职业，不如换成交互设计，桌面编程，代码审计，数据库运维等更具体的词。

我总是在吐槽某某知名 Web 安全界人士的编程水平不过关，当然，他们也确实不过关。会写代码是最低的标准，代码应当首先是写给人看的，顺便能在机器上运行。无论多么短小的程序，都应当考虑可读性和可维护性，并应用各种用于避免错误的技巧。对于如何提高可读性，如何避免错误，不同的人可能会有不同的观点，但是作为代码的作者，在写代码的时候至少应当考虑过这些问题。我认为绝大部分信息安全相关的工作，都需要首先是一名程序员，有过构建真正应用的经验才行。

我有这样的观点是因为我在思考一个问题，「信息安全」的最终目的是什么呢？我认为目的是为了减少程序的漏洞，但是现在业界的普遍目标是「发现更多的漏洞」。的确，发现漏洞是减少漏洞的前提，但是现在业界对于「发现漏洞」的热情实在太高了，以至于忘记了真正的目的。

比如说前一阵的 Heartbleed 事件，首先发现这个漏洞的人值得喝彩。但是随后几天，就开始有很多人在乌云网上提交各种网站没有更新 OpenSSL 的问题。在这些人看来，发现漏洞就是自己的目标，但他们从未想过如何能够减少漏洞。

我认为减少漏洞的途径应当是培养更多具有安全意识，能够写出高质量代码的程序员，专职的信息安全专家当然也要有，但至少他们应当曾经是一个「具有安全意识的程序员」。以我自己举例，我算是一个不太主流的程序员，除了写代码之外，我还花了更多时间学习新的技术，和新的知识——虽然这些知识可能我永远也不会在工作中用到。我虽然从未专门学习过有关「信息安全」的技术，但是因为我一直在研究如何编写更安全的代码，所以我对「信息安全」也算是触类旁通，甚至发现漏洞的水平也在一些人(通常被经常给黑客洗白的人称为「脚本小子」)之上。

很多没有学习过编程，而是首先开始学习信息安全的初学者，思维都很僵化。举个简单的例子，他们很难认识到「XSS」和「SQL Injection」其实是同一类攻击手法——注入 HTML 和注入 SQL. 也很难区分加密(Encryption), 编码(Encode)和散列(Hash)——因为它们似乎都是在把一个可读的字符串「加密」成一个不可读的字符串。所谓 SQL 注入不过是 SQL 的一个特例而已，如果你没有用过 SQL, 而直接学习如何注入，那你恐怕得一直按照「大牛」们总结的注入方法来实施，很难自己发现新的攻击方式，这就是我所说的，编码是 Web 安全的基础。

比如现在有些 Web 安全方面的书，在繁复地罗列一些很相似的攻击手法，并未抽象出其中的联系和规律，使读者只能照着做，而很难有所启发。更不要说这些书将安全与编码完全割裂了开来，并传达「代码只是工具，会写就行了」的思想。这样的书却被一些人奉为神作，这又印证了我之前的观点：太多人在以发现漏洞为目标，而不是减少漏洞。

最后，我的观点就是认为，直到目前，至少国内的「信息安全」的行业还处于一个非常原始的状态。当然，没有事情是完美的，我也期待这个行业能够迅速地成长起来。