無名將禁加 javascript　小工具使用受限 文/趙郁竹 2008-03-27 使用者將不能再修改或新增javascript，而影音外連語法的部分也限制只有在正面表列名 單上的網站才能夠嵌入至無名。 無名小站將自下周（3/31）開始修改使用html語法的規則。使用者將不能再修改或新增 javascript，而影音外連語法的部分也限制只有在正面表列名單上的網站才能夠嵌入至無 名。 這也意謂著，無名藉此加強網站安全的同時，以往使用者可在部落格中嵌入的小貼紙、時 鐘等小工具（Gadget），在無名限制javascript後就無法新增或修改。若是要嵌入外部的 影音內容，也必須是無名核可的網站，否則無法外連。 Yahoo!奇摩公關經理吳苑如表示，這兩項限制都是基於安全性考量，javascript可能成為 有心人士用來植入病毒、木馬程式的管道，導致瀏覽者電腦受到安全性攻擊甚至帳號遭竊 。因此才打算限制使用者往後不能再新增javascript，如此等於阻斷了駭客透過 javascript威脅使用者安全的途徑。 不過，只要在3/31前加入的javascript皆可保留，但不得修改也不得新增，若是新增或修 改就會啟動系統檢查，一但啟動系統檢查，任何形式的javascript都會被移除。不過以 javascript呈現的Google AdSense則不受影響，使用者可將AdSense加入到網誌描述和側 邊的連結管理，而在這兩個地方內的語法不受影響。不過一般使用者以 javascript撰寫 的小程式如時鐘等等就無法新增。 而嵌入外連網站的語法也有限制，只有在正面表列名單上的網站才能通過。目前無名列出 約40多個網站，知名影音平台如YouTube、Yam、 Xuite都在其列。吳苑如表示，一般常用 大站都已被列入白名單，若是使用者還有想要外連的網站，卻不在名單上，可以直接寫信 向無名建議，在通過安全性檢查後會盡快列入白名單，避免有心人士刻意外連惡意網站。 消極做法 從安全廠商這兩年發表的資安報告可看出，網路攻擊（web threat）已成趨勢，透過網頁 進行的攻擊手法越來越多，因此無名的做法的確有其考量。趨勢科技資深技術顧問戴燊也 指出，透過javascript植入惡意程式是相當普遍被使用的手法。 不過他認為，直接禁用javascript是消極做法，應可利用其他平台防範技術來阻止惡意程 式進入，例如在使用者張貼物件之前先掃描，確定該物件是安全的再張貼、上傳。「直接 禁用javascript可能要承擔使用者出走的風險。」戴燊認為。在bbs站PTT實業坊部落格版 上，也有代號為 cuteterisa的網友直言：「無名又要引起另一波出走潮。」 這是由於使用者自行撰寫javascript，通常是為了在部落格中增加進階功能，如貼紙、小 時鐘等小工具（Gadget），都是透過javascript加到平台上。因此禁用javascript固然可 強化平台安全，不過也限制了進階使用者可以發揮的空間。 因此公告貼出三天以來，無名討論區中也出現了一些使用者反彈聲浪，大都不滿無名限制 重重，相當不方便。由於無名原本就只開放金卡Vip會員可以加入javascript，因此功能 面的影響範圍以進階使用者為主，但可保障所有瀏覽者的安全性。 不過其他業者有不同做法，痞客幫（Pixnet）技術長曾皇霖指出，Google的blogger和 Pixnet對於javascript都沒有限制，而是以其他方式加強安全性，例如多一道認證碼機制 ，或是備份功能。但戴燊指出，這種做法只能防止文章被盜刪或是盜用帳號，但對於惡意 程式入侵沒有太大幫助。 也有業者採用和無名相同做法，如wordpress也是完全限制javascript。 吳苑如強調，雖然此舉會帶給使用者小小不便，不過無名以安全性為第一優先考量。若是 之後有其他方法可以不用限制javascript也能保障安全性，無名也樂意接受。 http://www.ithome.com.tw/itadm/article.php?c=48197 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 134.208.2.125