※ [本文转录自 Gossiping 看板] 作者: cbate (自由是用钱买不到的) 站内: Gossiping 标题: [新闻] 防范恶意程式　无名小站全面禁加Javascript 时间: Wed Oct 15 11:08:40 2008 防范恶意程式　无名小站全面禁加Javascript http://www.ithome.com.tw/itadm/article.php?c=51428 资安组织chroot日前发出一份公告，指出无名小站存在XSS漏洞，这很有可能才是无名 紧急修改政策的真正原因。 无名小站周一贴出公告，十月十四日中午开始全面禁止新增、修改Javascript语法 。根据无名表示，此举为考量网友使用安全，不过使用者往後将不得再新增小时钟、 音乐播放、联播贴纸、联播广告等利用Javascript放置的外挂程式。 无名小站在公告中指出，为了避免有心人士藉由恶意程式语法散布病毒或木马程式， 今天开始网志边栏和网志叙述将不提供新增置放Javascript语法之功能。不过据了解 ，资安组织chroot日前发出一份公告，指出无名小站存在跨站脚本攻击漏洞（XSS, Cross-Site Scripting），这很有可能才是无名紧急修改政策的真正原因。 Yahoo!奇摩公关经理吴苑如回应表示，透过语法可进行的恶意攻击很多，如果骇客攻 击的是网站平台，平台可以有效控制；不过若是攻击浏览者，就难以预防。因此虽然 禁用Javascript会造成使用者些许不便，却是较能保障网友浏览安全的做法。 事实上，无名在今年3月时已经开始修改语法使用规定，除了网志边栏和网志叙述外， 不得新增、修改Javascript。这次全面禁用Javascript，也是上一波管理政策的延伸 。吴苑如强调，以前置入的语法还会继续运作，只是不能修改、新增，工程人员未来 会在确认安全无虞之後逐步开放边栏可运用的Javascript。 对於无名以此种方式强化平台安全性，不愿具名的资安专家表示，禁用Javascript可 以说是最全面的保障措施，虽然可透过後台机制解决，「不过就算防了999项，只要漏 了一项还是会出事。」他说，从资安角度来看，对於无名的做法他相当认同。 但也有其他资安专家持不同看法，专门揭露台湾网站被植入恶意连结、存在XSS或其他 安全漏洞的部落客邱春树（Roger）就认为，无名直接限制Javascript对於使用者影响 太大，并非最好的处理方式，应该可以从无名本身系统防护进行检视。不过透过 Javascript植入恶意程式的确是网站很容易遇到的问题，可以说相当普遍。 目前也有业者采用和无名相同做法，如wordpress也是完全限制javascript。痞客帮（ Pixnet）则未限制，而是从系统面加强安全性。Pixnet日前才因安全考量进行後台大 改版，在後端程式码、网站架构都提升了安全性。并将前後台网域拆开，也可降低遭 XSS攻击的风险。 -- 1. 因噎废食！ 2. 台大：躺着也中枪！e04 -- ╭─────────────────────────────────╮ │[教学] 教你怎麽上BBS 推广PTT你我一起来 http://tinyurl.com/42k73l │ ╰─────────────────────────────────╯ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 122.117.155.70 -- 你知道每年全球有多少人死於饥饿吗?美国的「The Hunger site」 http://www.thehungersite.com/clickToGive/home.faces?siteId=1 网站上只要网友 每天上网按一次，他们就会联合世界企业家,捐给世界各地饥民一碗食物， 光是去年一整年，「The Hunger site」就送出了4,800万碗食物给世界各地需要的 饥民.只要连上网路，动动你的滑鼠，加入首页,每天击点一次就可以帮助一个人, --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.161.126.24 ※ lovefordidi:转录至看板 Blog 10/15 11:12