aaa

當無名小站變成了有名大站, 用戶資料的安全性就變為最重要的事

你用的網站安全嗎? 外部語法很好玩, 但也有可能讓你的個人資料被偷走

當資料被偷走了, 你可能都還不知道, 相關新聞如下:

駭客也愛社交網站　傳播惡意程式更有效

事實上國內社交網站龍頭的無名小站也已注意到此問題，自本月（4）起在部落格中開始限制不得新增或修改Javascript語法。

賽門鐵克今天（4/10）發表最新一期全球網路安全威脅研究報告指出，社交網站已成為駭客植入惡意程式的目標。惡意網站數量也從2006年的12萬暴增到去年（2007）的70萬。

賽門鐵克指出，駭客現今將攻擊目標轉向合法網站，並大量以社交型網站為媒介，將惡意程式植入網站，再透過社交網站的傳播特性攻擊瀏覽者電腦。使用者可能因此感染惡意程式，駭客就可從中獲取個人機密資料。

如國外知名的Facebook、台灣無名小站都是所謂社交型網站。以Facebook為例，使用者常會接受到許多邀請、分享的要求，而因社交網站的交友特性，使用者通常不會特別注意瀏覽行為的安全性，惡意程式網站也就透過人際傳播的特性大量散佈。

賽門鐵克台灣暨香港區董事總經理徐海國指出，從2007下半年的研究可看出，不論是惡意程式攻擊或是傳統的釣魚網站，都以社交網站做為散佈媒介或是仿造對象，如Facebook、Myspace都是目標，因為其中有許多分享照片、影片的功能。加上使用者通常較信賴社交網頁，因此在瀏覽時也降低了警戒心。

「使用者在做線上交易時已有相當戒心，不過面對社交網站反而不會注意。徐海國說，台灣的惡意程式活動比例也越來越高，在亞太區已經高居第三，較上期研究時上升一名，僅次於中國大陸和南韓。

事實上國內社交網站龍頭的無名小站也已注意到此問題，自本月（4）起在部落格中開始限制Javascript語法的使用。該公司表示此做法就是基於安全性的考量，由於駭客可能透過Javascript植入惡意程式，因此希望透過禁用來加強平台安全性。

另一方面，社交網站的使用越來越普及，也成為駭客仿造釣魚網頁的目標。賽門鐵克資深技術顧問莊添發表示，前十大主控網路釣魚的國家中，有五個國家都將目標放在社交網路。除了因為使用率越來越高外，使用者在瀏覽社交網站時較不設防也是主因。釣魚網站依然是嚴重的安全問題，相較於2007上半年又成長了167%。

該報告還指出，網站弱點攻擊在增加，企業也應加強修補網站漏洞。徐海國表示，研究發現針對網站弱點的攻擊相較於傳統弱點正在快速增加，2007下半年已經較上半年增加了一倍，而傳統弱點則下降。不過在這半年間新增的五千多個網站弱點中，卻只有473個獲得修正，顯示網站業者尚未注意到此問題。

另外，資料竊取是所有惡意威脅最主要的目的。不論惡意網站或釣魚網站，都覬覦使用者的帳號密碼。在擁有釣魚網站主機的國家中，台灣在亞太區排名第五，其中銀行網站也是主要目標，因為可以快速獲利。