作者taicomjp (Kurosagi.)
看板Ajax
標題[情報] 防範惡意程式 無名小站全面禁加Javascript
時間Fri Oct 17 09:09:12 2008
防範惡意程式 無名小站全面禁加Javascript
文/趙郁竹 2008-10-14
資安組織chroot日前發出一份公告,指出無名小站存在XSS漏洞,這很有可能才是無名緊
急修改政策的真正原因。
無名小站週一貼出公告,今天(10/14)中午開始全面禁止新增、修改Javascript語法。
根據無名表示,此舉為考量網友使用安全,不過使用者往後將不得再新增小時鐘、音樂播
放、聯播貼紙、聯播廣告等利用Javascript放置的外掛程式。
無名小站在公告中指出,為了避免有心人士藉由惡意程式語法散佈病毒或木馬程式,今天
開始網誌邊欄和網誌敘述將不提供新增置放Javascript語法之功能。不過據了解,資安組
織chroot日前發出一份公告,指出無名小站存在跨站腳本攻擊漏洞(XSS, Cross-Site
Scripting),這很有可能才是無名緊急修改政策的真正原因。
Yahoo!奇摩公關經理吳苑如回應表示,透過語法可進行的惡意攻擊很多,如果駭客攻擊的
是網站平台,平台可以有效控制;不過若是攻擊瀏覽者,就難以預防。因此雖然禁用
Javascript會造成使用者些許不便,卻是較能保障網友瀏覽安全的做法。
事實上,無名在今年3月時已經開始修改語法使用規定,除了網誌邊欄和網誌敘述外,不
得新增、修改Javascript。這次全面禁用Javascript,也是上一波管理政策的延伸。吳苑
如強調,以前置入的語法還會繼續運作,只是不能修改、新增,工程人員未來會在確認安
全無虞之後逐步開放邊欄可運用的Javascript。
對於無名以此種方式強化平台安全性,不願具名的資安專家表示,禁用Javascript可以說
是最全面的保障措施,雖然可透過後台機制解決,「不過就算防了999項,只要漏了一項
還是會出事。」他說,從資安角度來看,對於無名的做法他相當認同。
但也有其他資安專家持不同看法,專門揭露台灣網站被植入惡意連結、存在XSS或其他安
全漏洞的部落客邱春樹(Roger)就認為,無名直接限制Javascript對於使用者影響太大
,並非最好的處理方式,應該可以從無名本身系統防護進行檢視。不過透過Javascript植
入惡意程式的確是網站很容易遇到的問題,可以說相當普遍。
目前也有業者採用和無名相同做法,如wordpress也是完全限制javascript。痞客幫(
Pixnet)則未限制,而是從系統面加強安全性。Pixnet日前才因安全考量進行後台大改版
,在後端程式碼、網站架構都提升了安全性。並將前後台網域拆開,也可降低遭XSS攻擊
的風險。
http://www.ithome.com.tw/itadm/article.php?c=51428
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 134.208.2.112