close
本地社群網站龍頭老大哥 無名小站,將以網站與部落格之安全性為由,

將自(3/31)日起禁止會員在網誌內使用JavaScript等語法,

並限制特定網站的內容才能內嵌進無名,引發部分使用者反彈。








引述自 ZDNet Taiwan
無名小站是在本週一(3/24)在官方網頁上公告,將會在Blog的資料夾管理跟網誌敘述以外的任何可以輸入html的地方,如網誌文章、留言版敘述、名 片敘述等處進行語法檢查。若使用者新增或更改既有內容,而新的內容中又包括JavaScript語法,則該語法便會被系統刪除。此外,無名也將針對使用者 嵌入(embed)的內容設下限制,僅有被無名檢查後認為安全無虞的網站,其內容才能被嵌入無名,目前無名放行46個網域,包括了YouTube、 Hinet、Yam天空等。

無名小站的作法「照例」引發部份使用者的不滿,並上網留言抗議。代號m933的網友便在電子公佈欄PTT上留言表示,無名的作法如同「超級大鎖國」,另一網友cuteterisa更直言,無名此舉恐「又要引起一波出走潮,」他留言表示。

大舉封鎖、設限,無名表示,是為防範日益嚴重的網路安全問題。

「使用者或許會感到不便,但我們把安全問題列為第一優先,」併購無名小站的雅虎奇摩透過公關經理吳苑如表示,內部安全團隊認為毫無限制允許 JavaScript程式碼運作或嵌入式內容,可能會遭有心人士利用,散佈內含惡意行為的程式碼或嵌入式內容,「國外已經有案例,國內狀況雖不嚴重,但我 們希望能及早預防,」她說。

身為國內最大社群網站的無名小站,每逢服務更動便動見觀瞻。在此之前,便曾因要求使用者更改密碼、與雅虎的帳號合併,以及日前推出的「誰來我家」功能疑侵害隱私等事件,遭使用者上網留言抱怨。

JavaScript應用廣泛 安全常遭疑

被無名禁用的JavaScript,是一種在用戶端執行的腳本語言,由於可以減低伺服器的運算壓力,且能夠跨不同瀏覽器平台運行,因此被廣泛用於動態網頁 的編寫,例如近年來大受歡迎的AJAX,其實就是使用JavaScript作為動態網頁開發的一種方法。而部落格服務提供者(Blog Service Provider, BSP)為了讓部落客有更高自主性編寫自己的部落格,多半都會開放用戶加入自行編寫,或拷貝自他處的JavaScript語法。

不過由於JavaScript是在用戶端電腦執行,便很容易引發用戶端的安全性問題。趨勢科技技術顧問簡勝財便說,JavaScript依照編寫目的,可能在使用者電腦上執行任何惡意行為,一直存在安全性爭議。

事實上,資安組織開放Web軟體安全計畫(Open Web Application Security Project, OWASP)去(2007)年度發表的十大Web安全漏洞,利用JavaScript的跨站指令碼攻擊(Cross Site Scripting, XSS)便居首位。在2006年,美國知名社群網站MySpace也曾傳出駭客Samy利用該手法竊取上百萬人的cookies,並藉以假冒本尊以竄改使 用者個人檔案。

一般而言,合法網站多會確保交給使用者端執行的JavaScript本身的安全性,但在使用者可自行編輯的部落格中,惡意使用者在網頁中加入惡意程式碼,無形中也提高了風險。

同業觀望中

其他部落格業者多表示也注意到了此一問題,但多以須衡量使用者喜好與習慣為由,暫持觀望態度。

Yam天空公關主任葉志昱便說,內部已多次開會討論JavaScript與嵌入外部網站內容的安全性問題,也曾考慮全面禁止,但因顧慮使用者反應,仍在尋求兩全其美的解決之道。

PIXNET創辦人暨技術長曾皇霖也表示,該公司自去年起便開始施行安全性增強計劃,對於JavaScript或嵌入外部內容可能的安全性問題,已推動第 二層密碼,避免如同MySpace案例中竊取cookies即可更改用戶資料的問題,目前則正進行底層系統的改寫,未來可將XSS攻擊所產生的損害限制到 最小,「我們希望使用者能有最大的空間,同時安全性也能獲得保障,」他說。

至於Google旗下的Blogger,則很早就留意到XSS漏洞,透過網站本身的底層技術設計,讓駭客無法藉此施行XSS攻擊。

簡勝財表示,資訊安全永遠存在方便與安全兩股力量的角力,他建議使用者若較常瀏覽開放性較高、允許用戶插入各種語法或內容的部落格服務,則務必要確認自己的防毒軟體時時保持更新,「JavaScript的漏洞不容易防,一定要靠資安軟體來幫忙,」他說。






真不知道這樣的變更與改革是否恰當與實用...就使用者單方面來說,

在希望能有多方位全方面的使用效果來說,這實在是個不怎麼好的消息?!

但是,安全與方便...平凡與華麗,這實在有時候很難取捨與拿捏...

還好我身處在痞客邦,離開那個無名部落格那麼久了或許有些淡忘.....


就像有人回覆說:

原本費盡心思招來且花很多時間設計好的東西放在BLOG右欄,現在竟
然又因為突如其來的改變費了我們的設計和安排,這是在搞什麼東東
阿!真的很莫名其妙耶!那種感覺就像我們買了了一間房子搬進去
住,裝潢好的屋子隔天突然莫名其妙地被搬走很多家具,很突兀,而
且有種強烈被侵犯的感受,無名!請你不要再莫名其妙地定了一些規
定然後讓人突然地被迫接受妳的新規定,我們的家不需要妳的故做主
張來規定我們要如何設定我們的家,這真的很莫名其妙!真的很嘔,
是誰提出這個爛東東規則,真是很沒人性又沒道德!在這樣下去我真
的會對你們公司印象很差很差很差,討厭斃了!看到弄好的無名被你
們這樣亂搞,畫面變的很差又很,畸形這是你們的原意嗎?而且竟然
沒有事先通知就亂改亂邊新規定,先斬後奏的行為真的很沒品,你們
知道嗎?


這樣做會不會本末倒置了?!
加強工程師素質才是目前最要緊的吧...
說真的,研發再多新功能,
都比不上「可以無憂無慮的打造自己天地」更令人開心啊~




希望痞客邦不要後來也限制這限制那的.....要能有更完善的防護與配套措施,

我想這樣才能真正的深得民心! 也才能更加得到認同,更多人加入,日亦茁壯!!!





arrow
arrow
    全站熱搜
    創作者介紹
    創作者 pali0621 的頭像
    pali0621

    夜貓族™

    pali0621 發表在 痞客邦 留言(2) 人氣()