Valve回应对Steam安全担忧 称其固若金汤

Valve制作了新的安全网页回应一封对Steam安全性顾虑的公开信，向广大担忧的开发者和“忧虑公民”报导其处理过程，但同时称不准备引入“bug报告奖励项目”。

公开信中开头提到Valve并没有正式的报错奖励系统，取而代之的是“稀有的物品奖励”赏给那些发现bug的人们。

信中担忧此举会使玩家更关心 “报告无关紧要的bug”来获得奖赏，比如《军团要塞2》的周边帽子，而并非关注真正严重的危害性极大的漏洞，甚至为了得到奖励而谎报。

信中还对不完备的错误报告系统表示担忧。例如在处理“心血漏洞”安全威胁的问题上，Valve竟然花了整整24小时来修补公司服务器。这对于“数以百万计的用户和合作伙伴的敏感数据”造成了非常严重的威胁，无法令人接受。

在此期间Valve甚至没有要求用户更换密码，从而导致几天之后Steam合作方证书被“曝光和侵犯”。

尽管如此，公开信称：“Valve对此事件没有任何公开解释。我们非常不满。”

“我们坚信Vavle依然不肯建立一个完整清晰的安全报错机制，Valve将它们自己，它们的顾客和合作伙伴推至一个非常危险的境地。”信中总结道，“我们都是Valve的粉丝，我们的最终目的是希望Valve能够为顾客和产品创建一个方便的、安全的平台。

Valve在昨天回应称它们”十分严肃“地处理Steam安全系统的问题，坚信系统“固若金汤”，不过随即称他们并没有将所有处理细节公之于众。

建立新的安全页面是为了让大家明白提供解决bug的办法并不是件好事。同时保证所有bug的报告将均被认可。

Valve同时披露称由于不同的队伍在处理不同的bug报告，所有在解决报告中出现了不连贯的问题。“对于Steam团队来说我们表示十分感谢接受这些报告，但我们不会提供正式的bug报告奖励。”回应中称，“其它团队，例如《军团要塞2》来说做法可能与我们有异。”

Valve强调称政策不会禁止用户报告bug或者安全漏洞，而能保护用户免受更多问题。“我们会采取更进一步的措施来防止一些人蓄意破坏。”回应中写道，“我们希望合作伙伴和安全问题研究者小心地负责任地行事。”

这让人想起当年《欧洲卡车模拟2》开发者Tomas Duda的经历。他因为通过重导用户进入“哈林摇视频”而“报告”在社区中有安全漏洞而被Steam拉黑。他宣称那时自己非常受挫，因为那份bug报告在发布几个月后被无视。

“我好几次和他们说起这份脚本中有严重的漏洞。没人处理。所以我现在用这段视频搞笑一下。”

Duda在随后而来的禁令中解释道，“想象一下如果别人利用此漏洞来盗取用户信息身份会是怎样的结果。”

Duda之后被解除禁令。他的经历更加突出了Valve处理此类问题的不连贯性。

我们从Valve的回应中只看到一个承诺，而对于链接的漏洞问题并没有很明确的改动。

公开信的作者将这封信描述为“踏向正确方向上的一步”，但也提及有些问题并没有阐明清楚，并称这封信将会随着与Valve的沟通，不断更新直至信中的方案可行为止。