※ 引述《TonyQ (自立而后立人)》之铭言:
: http://www.appledaily.com.tw/realtimenews/article/politics/20140904/463698/
: 4.备注:
: 有没有把网友公民提案内容的网页语法,讲成恶意攻击的八卦?
: 在网友提案里面放放柯文哲的政见跟照片就是恶意攻击,
: 那这提案平台不摆明作来挖洞给网友跳跟整柯吗?
: 再者,如果真的不欢迎让人使用网页语法,
: 也可以从系统面好好做好内容管理把语法滤掉(html escape)。
: 说真的我觉得连营工程师真的该多花点心思在网站上,
: 这种基础的资讯素养都没有,还要搞到最后用新闻稿的方式来澄清,
: 作为网络领域的从业工程师,实在是觉得看得很难过啊。
: 如果有同行,也欢迎来我们网页开发工程师社团,
: 继续讨论更多“基础到不行的网站开发常识”。
: http://goo.gl/9qr7pG
真的看不下去连胜文的资讯团队
身为开发者,死为开发魂
只好跳出来讲讲真话......
这个事件讲简单点,
就是有人把“柯P滑出来对你说政见”留言进去造成的效果。
如果连胜文团队有基本的资讯安全
根本不可能发生此事
这种现象俗称“跨网站指令”,英文是 Cross-site Scripting,简称 XSS。
透过新闻了解这个人的想法仅是“进一步测试连胜文的气度底限,
才改放柯文哲的图像等资讯”且连胜文官方强调官网仍正常运作,
没有影响到任何人的资讯安全。可以说他非常的幸运...
但是连胜文官网的 XXS 漏洞,却非常的危险,风险小从替换联结、
置换页面内容等无伤大雅情况,大到诱导使用者刷卡、诱使使用者
重新输入密码以盗取帐号等等等都有可能。
今天遇到的意外只是测试,但试想,连胜文团队未来在市政、
健保、警消、电子付费等上会不会出此状况?实在令人担忧。
话说回来,XSS 怎么防御?
其实,只要网站开发者,将留言内的程式码做过滤,就能杜绝这种危险。
而这几乎是现在网站开发的基本常识、资讯安全的第一课。
正确使用科技工具,可以发挥正向强大的力量。
反之用在不对的地方,也会造成破坏。
举例来说,民众能够使用行车记录器保护自己的安全,
但政府绝不能用来监控人民的一举一动。
类似的例子还有之前远通 eTag 当机以为是骇客攻击,
经行政院相关单位调查后,
才发现是自己的 App 设计不良的结果......
透过这次的事件,身为资讯人员的尊严...
希望连胜文的团队能够尽快补足网站开发的基本知识、加强资安意识,
让选举回归正面价值对决
不要再迁拖什么理由了 这真的非常丢脸