※ [本文转录自 Gossiping 看板]
作者: cbate (自由是用钱买不到的) 站内: Gossiping
标题: [新闻] 防范恶意程式 无名小站全面禁加Javascript
时间: Wed Oct 15 11:08:40 2008
防范恶意程式 无名小站全面禁加Javascript
http://www.ithome.com.tw/itadm/article.php?c=51428
资安组织chroot日前发出一份公告,指出无名小站存在XSS漏洞,这很有可能才是无名
紧急修改政策的真正原因。
无名小站周一贴出公告,十月十四日中午开始全面禁止新增、修改Javascript语法
。根据无名表示,此举为考量网友使用安全,不过使用者往后将不得再新增小时钟、
音乐播放、联播贴纸、联播广告等利用Javascript放置的外挂程式。
无名小站在公告中指出,为了避免有心人士借由恶意程式语法散布病毒或木马程式,
今天开始网志边栏和网志叙述将不提供新增置放Javascript语法之功能。不过据了解
,资安组织chroot日前发出一份公告,指出无名小站存在跨站脚本攻击漏洞(XSS,
Cross-Site Scripting),这很有可能才是无名紧急修改政策的真正原因。
Yahoo!奇摩公关经理吴苑如回应表示,透过语法可进行的恶意攻击很多,如果骇客攻
击的是网站平台,平台可以有效控制;不过若是攻击浏览者,就难以预防。因此虽然
禁用Javascript会造成使用者些许不便,却是较能保障网友浏览安全的做法。
事实上,无名在今年3月时已经开始修改语法使用规定,除了网志边栏和网志叙述外,
不得新增、修改Javascript。这次全面禁用Javascript,也是上一波管理政策的延伸
。吴苑如强调,以前置入的语法还会继续运作,只是不能修改、新增,工程人员未来
会在确认安全无虞之后逐步开放边栏可运用的Javascript。
对于无名以此种方式强化平台安全性,不愿具名的资安专家表示,禁用Javascript可
以说是最全面的保障措施,虽然可透过后台机制解决,“不过就算防了999项,只要漏
了一项还是会出事。”他说,从资安角度来看,对于无名的做法他相当认同。
但也有其他资安专家持不同看法,专门揭露台湾网站被植入恶意连结、存在XSS或其他
安全漏洞的部落客邱春树(Roger)就认为,无名直接限制Javascript对于使用者影响
太大,并非最好的处理方式,应该可以从无名本身系统防护进行检视。不过透过
Javascript植入恶意程式的确是网站很容易遇到的问题,可以说相当普遍。
目前也有业者采用和无名相同做法,如wordpress也是完全限制javascript。痞客帮(
Pixnet)则未限制,而是从系统面加强安全性。Pixnet日前才因安全考量进行后台大
改版,在后端程式码、网站架构都提升了安全性。并将前后台网域拆开,也可降低遭
XSS攻击的风险。