[轉錄][新聞] 防範惡意程式 無名小站全面禁加Javasc …
※ [本文轉錄自 Gossiping 看板]
作者: cbate (自由是用錢買不到的) 站內: Gossiping
標題: [新聞] 防範惡意程式 無名小站全面禁加Javascript
時間: Wed Oct 15 11:08:40 2008
防範惡意程式 無名小站全面禁加Javascript
http://www.ithome.com.tw/itadm/article.php?c=51428
資安組織chroot日前發出一份公告,指出無名小站存在XSS漏洞,這很有可能才是無名
緊急修改政策的真正原因。
無名小站週一貼出公告,十月十四日中午開始全面禁止新增、修改Javascript語法
。根據無名表示,此舉為考量網友使用安全,不過使用者往後將不得再新增小時鐘、
音樂播放、聯播貼紙、聯播廣告等利用Javascript放置的外掛程式。
無名小站在公告中指出,為了避免有心人士藉由惡意程式語法散佈病毒或木馬程式,
今天開始網誌邊欄和網誌敘述將不提供新增置放Javascript語法之功能。不過據了解
,資安組織chroot日前發出一份公告,指出無名小站存在跨站腳本攻擊漏洞(XSS,
Cross-Site Scripting),這很有可能才是無名緊急修改政策的真正原因。
Yahoo!奇摩公關經理吳苑如回應表示,透過語法可進行的惡意攻擊很多,如果駭客攻
擊的是網站平台,平台可以有效控制;不過若是攻擊瀏覽者,就難以預防。因此雖然
禁用Javascript會造成使用者些許不便,卻是較能保障網友瀏覽安全的做法。
事實上,無名在今年3月時已經開始修改語法使用規定,除了網誌邊欄和網誌敘述外,
不得新增、修改Javascript。這次全面禁用Javascript,也是上一波管理政策的延伸
。吳苑如強調,以前置入的語法還會繼續運作,只是不能修改、新增,工程人員未來
會在確認安全無虞之後逐步開放邊欄可運用的Javascript。
對於無名以此種方式強化平台安全性,不願具名的資安專家表示,禁用Javascript可
以說是最全面的保障措施,雖然可透過後台機制解決,「不過就算防了999項,只要漏
了一項還是會出事。」他說,從資安角度來看,對於無名的做法他相當認同。
但也有其他資安專家持不同看法,專門揭露台灣網站被植入惡意連結、存在XSS或其他
安全漏洞的部落客邱春樹(Roger)就認為,無名直接限制Javascript對於使用者影響
太大,並非最好的處理方式,應該可以從無名本身系統防護進行檢視。不過透過
Javascript植入惡意程式的確是網站很容易遇到的問題,可以說相當普遍。
目前也有業者採用和無名相同做法,如wordpress也是完全限制javascript。痞客幫(
Pixnet)則未限制,而是從系統面加強安全性。Pixnet日前才因安全考量進行後台大
改版,在後端程式碼、網站架構都提升了安全性。並將前後台網域拆開,也可降低遭
XSS攻擊的風險。
--
1. 因噎廢食!
2. 台大:躺著也中槍!e04
--
╭─────────────────────────────────╮
│[教學] 教你怎麼上BBS 推廣PTT你我一起來 http://tinyurl.com/42k73l │
╰─────────────────────────────────╯
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 122.117.155.70
推
10/15 11:09,
10/15 11:09
推
10/15 11:10,
10/15 11:10
→
10/15 11:10,
10/15 11:10
推
10/15 11:10,
10/15 11:10
推
10/15 11:10,
10/15 11:10
→
10/15 11:10,
10/15 11:10
推
10/15 11:10,
10/15 11:10
→
10/15 11:11,
10/15 11:11
推
10/15 11:11,
10/15 11:11
※ lovefordidi:轉錄至看板 wretch 10/15 11:11
→
10/15 11:12,
10/15 11:12
推
10/15 11:12,
10/15 11:12
→
10/15 11:12,
10/15 11:12
推
10/15 11:12,
10/15 11:12
推
10/15 11:13,
10/15 11:13
推
10/15 11:13,
10/15 11:13
推
10/15 11:13,
10/15 11:13
推
10/15 11:14,
10/15 11:14
→
10/15 11:14,
10/15 11:14
推
10/15 11:14,
10/15 11:14
推
10/15 11:14,
10/15 11:14
→
10/15 11:14,
10/15 11:14
→
10/15 11:15,
10/15 11:15
推
10/15 11:16,
10/15 11:16
推
10/15 11:17,
10/15 11:17
推
10/15 11:21,
10/15 11:21
推
10/15 11:21,
10/15 11:21
推
10/15 11:25,
10/15 11:25
推
10/15 11:29,
10/15 11:29
推
10/15 11:29,
10/15 11:29
推
10/15 11:36,
10/15 11:36
→
10/15 11:39,
10/15 11:39
推
10/15 11:41,
10/15 11:41
→
10/15 11:42,
10/15 11:42
推
10/15 11:42,
10/15 11:42
推
10/15 11:59,
10/15 11:59
→
10/15 11:59,
10/15 11:59
→
10/15 11:59,
10/15 11:59
※ ZenUp:轉錄至看板 Blog 10/15 12:02
噓
10/15 12:06,
10/15 12:06
推
10/15 12:06,
10/15 12:06
推
10/15 12:08,
10/15 12:08
推
10/15 12:13,
10/15 12:13
→
10/15 12:13,
10/15 12:13
推
10/15 12:20,
10/15 12:20
推
10/15 12:23,
10/15 12:23
→
10/15 12:26,
10/15 12:26
推
10/15 12:43,
10/15 12:43
→
10/15 12:43,
10/15 12:43
→
10/15 12:44,
10/15 12:44
推
10/15 12:44,
10/15 12:44
→
10/15 12:58,
10/15 12:58
→
10/15 13:17,
10/15 13:17
推
10/15 13:41,
10/15 13:41
推
10/15 13:50,
10/15 13:50
推
10/15 13:51,
10/15 13:51
→
10/15 13:51,
10/15 13:51
推
10/15 13:51,
10/15 13:51
推
10/15 13:58,
10/15 13:58
推
10/15 14:14,
10/15 14:14
噓
10/15 14:36,
10/15 14:36
噓
10/15 14:41,
10/15 14:41
推
10/15 14:43,
10/15 14:43
噓
10/15 16:09,
10/15 16:09
推
10/15 16:39,
10/15 16:39
推
10/15 17:47,
10/15 17:47
※ SteveArthur:轉錄至看板 NTHU_TM96 10/15 18:00
推
10/15 18:10,
10/15 18:10
→
10/15 18:11,
10/15 18:11
推
10/15 21:48,
10/15 21:48
推
10/15 21:49,
10/15 21:49
→
10/15 21:49,
10/15 21:49
噓
10/16 04:21,
10/16 04:21
--
Fx Op Sa GC IE Ma SL GB
歡迎到Browsers板 - Your Web, Your Choice.
Take Back the Web, The Better Internet Experience.
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.123.220.49
推
10/16 18:59, , 1F
10/16 18:59, 1F
→
10/16 19:07, , 2F
10/16 19:07, 2F
→
10/16 19:23, , 3F
10/16 19:23, 3F
推
10/16 19:58, , 4F
10/16 19:58, 4F
推
10/16 21:03, , 5F
10/16 21:03, 5F
推
10/16 21:44, , 6F
10/16 21:44, 6F
推
10/16 23:52, , 7F
10/16 23:52, 7F
推
10/17 00:50, , 8F
10/17 00:50, 8F
推
10/17 09:12, , 9F
10/17 09:12, 9F
推
10/17 12:26, , 10F
10/17 12:26, 10F
→
10/17 20:38, , 11F
10/17 20:38, 11F
推
10/17 23:45, , 12F
10/17 23:45, 12F