廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2123 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
無名將禁加 javascript 小工具使用受限
無名將禁加 javascript 小工具使用受限
文/趙郁竹 2008-03-27

使用者將不能再修改或新增javascript,而影音外連語法的部分也限制只有在正面表列名單上的網站才能夠嵌入至無名。

無名小站將自下周(3/31)開始修改使用html語法的規則。使用者將不能再修改或新增javascript,而影音外連語法的部分也限制只有在正面表列名單上的網站才能夠嵌入至無名。

這也意謂著,無名藉此加強網站安全的同時,以往使用者可在部落格中嵌入的小貼紙、時鐘等小工具(Gadget),在無名限制javascript後就無法新增或修改。若是要嵌入外部的影音內容,也必須是無名核可的網站,否則無法外連。

Yahoo!奇摩公關經理吳苑如表示,這兩項限制都是基於安全性考量,javascript可能成為有心人士用來植入病毒、木馬程式的管道,導致瀏覽者電腦受到安全性攻擊甚至帳號遭竊。因此才打算限制使用者往後不能再新增javascript,如此等於阻斷了駭客透過javascript威脅使用者安全的途徑。

不過,只要在3/31前加入的javascript皆可保留,但不得修改也不得新增,若是新增或修改就會啟動系統檢查,一但啟動系統檢查,任何形式的 javascript都會被移除。不過以javascript呈現的Google AdSense則不受影響,使用者可將AdSense加入到網誌描述和側邊的連結管理,而在這兩個地方內的語法不受影響。不過一般使用者以 javascript撰寫的小程式如時鐘等等就無法新增。

而嵌入外連網站的語法也有限制,只有在正面表列名單上的網站才能通過。目前無名列出約40多個網站,知名影音平台如YouTube、Yam、Xuite都在其列。吳苑如表示,一般常用大站都已被列入白名單,若是使用者還有想要外連的網站,卻不在名單上,可以直接寫信向無名建議,在通過安全性檢查後會盡快列入白名單,避免有心人士刻意外連惡意網站。

消極做法

從安全廠商這兩年發表的資安報告可看出,網路攻擊(web threat)已成趨勢,透過網頁進行的攻擊手法越來越多,因此無名的做法的確有其考量。趨勢科技資深技術顧問戴燊也指出,透過javascript植入惡意程式是相當普遍被使用的手法。

不過他認為,直接禁用javascript是消極做法,應可利用其他平台防範技術來阻止惡意程式進入,例如在使用者張貼物件之前先掃描,確定該物件是安全的再張貼、上傳。「直接禁用javascript可能要承擔使用者出走的風險。」戴燊認為。在bbs站PTT實業坊部落格版上,也有代號為 cuteterisa的網友直言:「無名又要引起另一波出走潮。」

這是由於使用者自行撰寫javascript,通常是為了在部落格中增加進階功能,如貼紙、小時鐘等小工具(Gadget),都是透過javascript加到平台上。因此禁用javascript固然可強化平台安全,不過也限制了進階使用者可以發揮的空間。

因此公告貼出三天以來,無名討論區中也出現了一些使用者反彈聲浪,大都不滿無名限制重重,相當不方便。由於無名原本就只開放金卡Vip會員可以加入javascript,因此功能面的影響範圍以進階使用者為主,但可保障所有瀏覽者的安全性。

不過其他業者有不同做法,痞客幫(Pixnet)技術長曾皇霖指出,Google的blogger和Pixnet對於javascript都沒有限制,而是以其他方式加強安全性,例如多一道認證碼機制,或是備份功能。但戴燊指出,這種做法只能防止文章被盜刪或是盜用帳號,但對於惡意程式入侵沒有太大幫助。

也有業者採用和無名相同做法,如wordpress也是完全限制javascript。

吳苑如強調,雖然此舉會帶給使用者小小不便,不過無名以安全性為第一優先考量。若是之後有其他方法可以不用限制javascript也能保障安全性,無名也樂意接受。

資料來源:iThome online
原文出處:http://www.ithome.com.tw/itadm/article.php?c=48197



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2008-03-28 09:21 |
BrianFan
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x5 鮮花 x13
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

嗯嗯!
為了安全考量!
小小的不方便總比被看透好!


獻花 x0 回到頂端 [1 樓] From:臺灣新世紀 | Posted:2008-06-03 13:46 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.054762 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言