当进入Web2.0时代　人人都该为网络安全负责


IT资讯	系统天下	网盟学院


硬件DIY	软件下载	网络安全

您现在的位置： ChinaBeta.cn 中文IT资讯 >> 资讯中心 >> HACK报道 >> 安全资讯 >> 文章正文

	当进入Web2.0时代　人人都该为		Firefox 3.0.4及2.0.0.18发布
	MPlayer Full Package 2008-11		超快速网页浏览器 K-MeleonCCF
	ATI/AMD Catalyst 8.11 For Li		openSUSE 11.1 Beta 5 发布
	QQ for Mac Preview 3 Build 3		avast! Home/Professional Edi
	Mozilla SeaMonkey v1.1.13 -		Mozilla Firefox v2.0.0.18 Fi
	进军SNS Live.com变身为社交网		Opera Mini 4.2 beta 发布
	百度竞价排名被指“抢劫” 李彦		ATI Catalyst 8.11 WHQL 显卡驱
	新版 Wave3 截图欣赏:Messenge		《南方周末》:网络视频之乱待治
	《外滩画报》:“百度有啊”有什		Windows Live SkyDrive 推出重
	摩托亚太总裁梁念坚出任微软大		按新网瘾标准美新总统奥巴马很
	WordPress 开发者工具箱（下）		腾讯QQ今天开始封杀显IP 外挂用
	Google Chrome产品经理答记者问		全民医药网否认曾作弊要求百度
	支持截屏:QQ for Linux 1.0 Pr		龙芯CPU牵手长沙头三年产值将
	Square Enix宣布《最高指挥官2		《Left 4 Dead》试玩发布

当进入Web2.0时代　人人都该为网络安全负责

Www.ChinaBeta.Cn 更新时间：2008-11-14

【ChinaBeta.Cn中文IT资讯网】

在2008年的OWASP(The Open Web Application Security Project)亚洲年会中，许多讲者都不约而同地表示，Web 2.0时代的来临，不但让使用者上网浏览的经验变得更加多元，也连带使黑客的攻击手法愈趋多样化，更叫人防不胜防。如今Web 2.0所代表的意义，是过去那种由服务供应商高度管控的「网站(Website)」型态，变成自由且多元的「服务平台(Service Platform)」，而「使用者」的角色，则成了服务的最核心位置。

Web 2.0让每个人都成为主角

Web 2.0的信息、情报、服务，不再是Web 1.0那种由上而下、由中心而外的传递方式，而全部改由使用者，以及使用者与来访者互动，所共同创造的价值、意义和服务。服务平台的价值，完全由使用者自行贡献与创造，管理者本身仅需负责让平台能稳定地运作，无须创造内容与信息，例如YouTube、Wikipedia、Flickr、Facebook、Blogspot，以及在台湾具有广大用户的Yahoo!奇摩知识+和无名小站，都是Web 2.0横扫网络世界的最好证明。

在这股浪潮下，使用者对于自己的部落格也好，或是Facebook也罢，都能享有高度的自主性，而平台服务供应商也乐得开放更自由的网页编写语法，让使用者的网页呈现，以及应用程序的混搭(Mesh up)能更不受限。问题在于，当供应服务的管理者倾向开放，而绝大多数的使用者通常不具备信息安全与资料外泄危机意识时，网络的安全漏洞，也紧跟著多样化、自由化的脚步一同愈开愈大。

你有多自由　黑客就有多自由

以最近Websense Security Lab发表的1件研究报告为例，Google Sites、Gmail、YouTube、Blogspot等众多Web-based服务，皆存在许多点阅绑架(Clickjacking)、SQL Injection以及跨网站脚本攻击(Cross-Site-Scripting；XSS)弱点，黑客更可经由多重网站的重新导向(Redirection)，一步步将网页浏览者引入网络陷阱当中，最后造成许多个人资料外泄的悲剧。

受害者通常不局限于一般使用者，企业同样也是苦主。先前Websense亚洲与中东区副总裁Tim Lee来台时就曾表示，许多大量倚重高知识员工的企业，根本无力、也因为害怕招致员工反弹，而未禁止员工利用公司网络浏览社交网站与部落格。

举例来说，有人能想象1家媒体的主管，下令禁止所有员工利用公司网络上网查找资料吗？正因为这样的禁令往往无法执行，所以Web 2.0时代所带来的资安风险，非常容易由员工转嫁到企业身上，最终导致企业重要资料外流。

Google是代罪羔羊？

SecTheory执行长Robert “RSnake” Hansen在最近的1场演讲当中，也披露Google Gadget长年以来的点阅绑架漏洞，并直指Google就是因为没有正视他所提出的漏洞，才会导致类似的攻击行为在近年来有愈演愈烈的趋势。

然而Google有错吗？当然有，但问题不可能只出在它身上，因为同样的漏洞Facebook也发生，世界上许多有名的部落格社群，不也一再发生同样的惨事？

笔者认为，Google不过是个倒霉鬼，虽然以它身为全球每日承载量最大的网络服务供应商，因为没有积极修补漏洞而受到这样的批评，不但应该，也是活该，但是重点在于，如果只把这笔帐全部算在Google头上，其实也太小看当代的资安威胁；当前的问题，应该要由整个Web 2.0世代共同面对与承担。

谁想回到Web 1.0？

以现况来说，还有使用者可以接受自己的部落格仅能使用少数的语法、无法外挂应用程序，而且也不能使用RSS订阅吗？当我们每天使用即时通讯软件与电子邮件，和朋友、客户互动，并利用社交网站与亲人、朋友联系感情时，可曾想过每１个环节，都存在社交工程(Social Engineering)攻击手法介入的可能性吗？

现在从8岁到80岁的上网人口，都会使用部落格，也同样都利用层层的点选(click)行为，在虚拟世界中扩大自己的知识脉络与人际网络。但是，当社交工程手法无所不在，所有网页几乎点选即受骇，大量应用程序存在安全漏洞的同时，我们还有办法从Web 2.0时代，回到那如今看起来阳春无比，甚至接近网络洪荒时期的Web 1.0时代吗？相信可以接受的人不会太多，因为「由奢返俭难」的道理，在网络浏览行为上也同样适用。

资服业者保障有限　唯有人人自保才是王道

当然，随著黑客与病毒威胁愈趋猛烈，资服业者也不断地精进防骇技巧。虽然以成果来看，目前资服业者能为使用者提供的安全保证有限，但由于多数使用者的网络安全知识，长期处于贫乏的状态，所以，资服业者能做的保护，可发挥的成效自然有限。

既然在Web 2.0的时代，「每1位」使用者都取代了管理员，成为网络上具有高度自主性的个体，那么，就更应该具备保护自己，并共同维护整体网络社群安全的知识与概念。当代的网络资安威胁，无法完全由资服业者解决，每1位使用者都应该具备更全面的安全防护常识，才能减低在网络上容易受到的威胁与风险。