※ [本文轉錄自 Gossiping 看板] 作者: cbate (自由是用錢買不到的) 站內: Gossiping 標題: [新聞] 防範惡意程式　無名小站全面禁加Javascript 時間: Wed Oct 15 11:08:40 2008 防範惡意程式　無名小站全面禁加Javascript http://www.ithome.com.tw/itadm/article.php?c=51428 資安組織chroot日前發出一份公告，指出無名小站存在XSS漏洞，這很有可能才是無名 緊急修改政策的真正原因。 無名小站週一貼出公告，十月十四日中午開始全面禁止新增、修改Javascript語法 。根據無名表示，此舉為考量網友使用安全，不過使用者往後將不得再新增小時鐘、 音樂播放、聯播貼紙、聯播廣告等利用Javascript放置的外掛程式。 無名小站在公告中指出，為了避免有心人士藉由惡意程式語法散佈病毒或木馬程式， 今天開始網誌邊欄和網誌敘述將不提供新增置放Javascript語法之功能。不過據了解 ，資安組織chroot日前發出一份公告，指出無名小站存在跨站腳本攻擊漏洞（XSS, Cross-Site Scripting），這很有可能才是無名緊急修改政策的真正原因。 Yahoo!奇摩公關經理吳苑如回應表示，透過語法可進行的惡意攻擊很多，如果駭客攻 擊的是網站平台，平台可以有效控制；不過若是攻擊瀏覽者，就難以預防。因此雖然 禁用Javascript會造成使用者些許不便，卻是較能保障網友瀏覽安全的做法。 事實上，無名在今年3月時已經開始修改語法使用規定，除了網誌邊欄和網誌敘述外， 不得新增、修改Javascript。這次全面禁用Javascript，也是上一波管理政策的延伸 。吳苑如強調，以前置入的語法還會繼續運作，只是不能修改、新增，工程人員未來 會在確認安全無虞之後逐步開放邊欄可運用的Javascript。 對於無名以此種方式強化平台安全性，不願具名的資安專家表示，禁用Javascript可 以說是最全面的保障措施，雖然可透過後台機制解決，「不過就算防了999項，只要漏 了一項還是會出事。」他說，從資安角度來看，對於無名的做法他相當認同。 但也有其他資安專家持不同看法，專門揭露台灣網站被植入惡意連結、存在XSS或其他 安全漏洞的部落客邱春樹（Roger）就認為，無名直接限制Javascript對於使用者影響 太大，並非最好的處理方式，應該可以從無名本身系統防護進行檢視。不過透過 Javascript植入惡意程式的確是網站很容易遇到的問題，可以說相當普遍。 目前也有業者採用和無名相同做法，如wordpress也是完全限制javascript。痞客幫（ Pixnet）則未限制，而是從系統面加強安全性。Pixnet日前才因安全考量進行後台大 改版，在後端程式碼、網站架構都提升了安全性。並將前後台網域拆開，也可降低遭 XSS攻擊的風險。 -- 1. 因噎廢食！ 2. 台大：躺著也中槍！e04 -- ╭─────────────────────────────────╮ │[教學] 教你怎麼上BBS 推廣PTT你我一起來 http://tinyurl.com/42k73l │ ╰─────────────────────────────────╯ --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.117.155.70 -- 你知道每年全球有多少人死於飢餓嗎?美國的「The Hunger site」 http://www.thehungersite.com/clickToGive/home.faces?siteId=1 網站上只要網友 每天上網按一次，他們就會聯合世界企業家,捐給世界各地饑民一碗食物， 光是去年一整年，「The Hunger site」就送出了4,800萬碗食物給世界各地需要的 饑民.只要連上網路，動動你的滑鼠，加入首頁,每天擊點一次就可以幫助一個人, --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.161.126.24 ※ lovefordidi:轉錄至看板 Blog 10/15 11:12