Web 2.0概念网站使用的新式网页技术,除了其正面意义外,也可能创造出一个安全威胁的新天地。
Web
2.0并没有严谨的定义,但最大的特色在于有别于传统单向传播、静态网页,而更强调使用者参与、开放、互动的网络技术。其中有些甚至还运用新的技术,以知名的Google
Maps为例,就是运用AJAX以及Mash-up技术,使网站服务器可以从其他网站抓取元件,像是租屋、餐厅、或犯罪信息,以便将此类信息整合在其地图上。
但安全厂商指出,除了更丰富的功能、更炫的界面之外,一些Web 2.0的网站陆续传出安全问题。例如现已为News
Corp(新闻集团)收购的MySpace,即曾传出Samy与Spaceflash蠕虫,它们可将这个知名社交网站众多使用者信息(profile)加以变更。
有些安全风险则来自Web
2.0概念运用的技术,像是AJAX。以AJAX技术开发的网站和浏览器有更多互动,而且可以在用户端PC上执行JavaScript。然而过去,JavaScript经常是攻击程序入侵使用者电脑的渠道,因而许多主流浏览器,往往原始设定关闭Java
Script的执行功能。AJAX也被认为增加跨网站指令码(cross-site scripting)攻击的可能性。
网络加速与安全产品供应商Bluecoat首席执行官Brian NeSmit即指出,对企业而言,Web
2.0同时意谓着更大的机会及风险。“机会在于应用获得更大自由与其他程序链接、组合,风险在于,AJAX则实现系统对系统的互动,”他说,“相较于传统email是人和人在机器后的互动行为,你已无法保证和你系统对话的是你信任的对象。”
因此他建议,“企业必须建立一个包括安全、身份认证的基础架构。”
Web 2.0讲求分享、使用者参与的精神,可能使本来就存在的问题到“Web 2.0时代”更扩大。
赛门铁克亚太区首席技术顾问林育民举例,一般网站在撰写时并不注重程序安全问题,许多网页程序普遍有漏洞可能遭到缓冲溢位(buffer
overflow)攻击,而许多号称Web 2.0的网站仰赖使用者张贴图片,则一些隐藏在Gif格式图形的恶意源代码,则可能循此漏洞入侵或寄生于网站上。
而浏览器有漏洞的使用者若到网站或论坛下载图片,也可能因此被感染,他说。“以前你只要不要到陌生网站下载图片,但现在连知名网站也无法确保你幸免遇难。”
趋势科技台湾技术总监王应达则认为,所谓“Web 2.0”网站安全问题其实和过去并没有太大差异。
Web应用安全问题源头往往有两个,一是Web应用撰写时有漏洞,一是网站使用的技术有漏洞,他说,前者可以通过Web开发人员的程序撰写安全观念,后者则有赖软件供应商的技术提升。“AJAX也好、跨网站指令码也好,这些都不是新东西,而且存在也很久了,只是网站开发人员要切记,不可因为功能面的追求,而忽略安全考虑。”
但王应达认为,根据去中心、参与、互动的定义,P2P、文件交换、博客都可以被称为Web 2.0,而这时Web
2.0所衍生出的安全问题,反而在使用者端更加急迫。
“要确保每个从事点对点交换的使用者注意安全,比要求程序设计师难度更高,”他认为,Web
2.0环境之下,分散、去中心化的传播行为成为可能,进入门槛也更低时,使用者教育将是更重要的一环。
“因为大家都能建立博客,并不意味着大家都知道有必要去检查Web程序安全。”他说,“这就给了黑客更容易得逞的机会。”
(责任编辑:韩建光) |