※ 引述《Corola (卡啦拉)》之铭言:
: ※ 引述《TonyQ (自立而后立人)》之铭言:
: : http://www.appledaily.com.tw/realtimenews/article/politics/20140904/463698/
: : 4.备注:
: : 有没有把网友公民提案内容的网页语法,讲成恶意攻击的八卦?
: : 在网友提案里面放放柯文哲的政见跟照片就是恶意攻击,
: : 那这提案平台不摆明作来挖洞给网友跳跟整柯吗?
: : 再者,如果真的不欢迎让人使用网页语法,
: : 也可以从系统面好好做好内容管理把语法滤掉(html escape)。
: : 说真的我觉得连营工程师真的该多花点心思在网站上,
: : 这种基础的资讯素养都没有,还要搞到最后用新闻稿的方式来澄清,
: : 作为网络领域的从业工程师,实在是觉得看得很难过啊。
: : 如果有同行,也欢迎来我们网页开发工程师社团,
: : 继续讨论更多“基础到不行的网站开发常识”。
: : http://goo.gl/9qr7pG
: 真的看不下去连胜文的资讯团队
: 身为开发者,死为开发魂
: 只好跳出来讲讲真话......
: 这个事件讲简单点,
: 就是有人把“柯P滑出来对你说政见”留言进去造成的效果。
: 如果连胜文团队有基本的资讯安全
: 根本不可能发生此事
: 这种现象俗称“跨网站指令”,英文是 Cross-site Scripting,简称 XSS。
: 透过新闻了解这个人的想法仅是“进一步测试连胜文的气度底限,
: 才改放柯文哲的图像等资讯”且连胜文官方强调官网仍正常运作,
: 没有影响到任何人的资讯安全。可以说他非常的幸运...
: 但是连胜文官网的 XXS 漏洞,却非常的危险,风险小从替换联结、
: 置换页面内容等无伤大雅情况,大到诱导使用者刷卡、诱使使用者
: 重新输入密码以盗取帐号等等等都有可能。
: 今天遇到的意外只是测试,但试想,连胜文团队未来在市政、
: 健保、警消、电子付费等上会不会出此状况?实在令人担忧。
: 话说回来,XSS 怎么防御?
: 其实,只要网站开发者,将留言内的程式码做过滤,就能杜绝这种危险。
: 而这几乎是现在网站开发的基本常识、资讯安全的第一课。
: 正确使用科技工具,可以发挥正向强大的力量。
: 反之用在不对的地方,也会造成破坏。
: 举例来说,民众能够使用行车记录器保护自己的安全,
: 但政府绝不能用来监控人民的一举一动。
: 类似的例子还有之前远通 eTag 当机以为是骇客攻击,
: 经行政院相关单位调查后,
: 才发现是自己的 App 设计不良的结果......
: 透过这次的事件,身为资讯人员的尊严...
: 希望连胜文的团队能够尽快补足网站开发的基本知识、加强资安意识,
: 让选举回归正面价值对决
: 不要再迁拖什么理由了 这真的非常丢脸
听说这种程度的漏洞
会贴语法的国中生就可做了
甚至国小学生都会
建议连胜文赶快去查一下
负责网站发包的人员
有没有收厂商回扣 或是 转包 转包 再转包
这种网站品质 大概是找高中生做的吧