無名小站禁用JavaScript、限制內嵌 惹民怨 - 部落格
By Iris
at 2008-03-27T21:08
at 2008-03-27T21:08
Table of Contents
嗯......
==============================================================================
http://0rz.tw/7a3O1
WretchFAQ - [公告]無名小站使用html語法限制
http://www.wretch.cc/blog/WretchFAQ&article_id=9579339
ZDNet記者馬培治/台北報導 2008/03/27 19:01 本地社群網站龍頭無名小站,以安全性
為由,將自下週(3/31)日起禁止會員在網誌內使用JavaScript語法,並限制特定網站的內
容才能內嵌進無名,引發部分使用者反彈。
無名小站是在本週一(3/24)在官方網頁上公告,將會在Blog的資料夾管理跟網誌敘述以外
的任何可以輸入html的地方,如網誌文章、留言版敘述、名片敘述等處進行語法檢查。若
使用者新增或更改既有內容,而新的內容中又包括JavaScript語法,則該語法便會被系統
刪除。此外,無名也將針對使用者嵌入(embed)的內容設下限制,僅有被無名檢查後認為
安全無虞的網站,其內容才能被嵌入無名,目前無名放行46個網域,包括了YouTube、
Hinet、Yam天空等。
無名小站的作法「照例」引發部份使用者的不滿,並上網留言抗議。代號m933的網友便在
電子公佈欄PTT上留言表示,無名的作法如同「超級大鎖國」,另一網友cuteterisa更直
言,無名此舉恐「又要引起一波出走潮,」他留言表示。
大舉封鎖、設限,無名表示,是為防範日益嚴重的網路安全問題。
「使用者或許會感到不便,但我們把安全問題列為第一優先,」併購無名小站的雅虎奇摩
透過公關經理吳苑如表示,內部安全團隊認為毫無限制允許 JavaScript程式碼運作或嵌
入式內容,可能會遭有心人士利用,散佈內含惡意行為的程式碼或嵌入式內容,「國外已
經有案例,國內狀況雖不嚴重,但我們希望能及早預防,」她說。
身為國內最大社群網站的無名小站,每逢服務更動便動見觀瞻。在此之前,便曾因要求使
用者更改密碼、與雅虎的帳號合併,以及日前推出的「誰來我家」功能疑侵害隱私等事件
,遭使用者上網留言抱怨。
JavaScript應用廣泛 安全常遭疑
被無名禁用的JavaScript,是一種在用戶端執行的腳本語言,由於可以減低伺服器的運算
壓力,且能夠跨不同瀏覽器平台運行,因此被廣泛用於動態網頁的編寫,例如近年來大受
歡迎的AJAX,其實就是使用JavaScript作為動態網頁開發的一種方法。而部落格服務提供
者(Blog Service Provider, BSP)為了讓部落客有更高自主性編寫自己的部落格,多半都
會開放用戶加入自行編寫,或拷貝自他處的JavaScript語法。
不過由於JavaScript是在用戶端電腦執行,便很容易引發用戶端的安全性問題。趨勢科技
技術顧問簡勝財便說,JavaScript依照編寫目的,可能在使用者電腦上執行任何惡意行為
,一直存在安全性爭議。
事實上,資安組織開放Web軟體安全計畫(Open Web Application Security Project,
OWASP)去(2007)年度發表的十大Web安全漏洞,利用JavaScript的跨站指令碼攻擊(Cross
Site Scripting, XSS)便居首位。在2006年,美國知名社群網站MySpace也曾傳出駭客
Samy利用該手法竊取上百萬人的cookies,並藉以假冒本尊以竄改使用者個人檔案。
一般而言,合法網站多會確保交給使用者端執行的JavaScript本身的安全性,但在使用者
可自行編輯的部落格中,惡意使用者在網頁中加入惡意程式碼,無形中也提高了風險。
同業觀望中
其他部落格業者多表示也注意到了此一問題,但多以須衡量使用者喜好與習慣為由,暫持
觀望態度。
Yam天空公關主任葉志昱便說,內部已多次開會討論JavaScript與嵌入外部網站內容的安
全性問題,也曾考慮全面禁止,但因顧慮使用者反應,仍在尋求兩全其美的解決之道。
PIXNET創辦人暨技術長曾皇霖也表示,該公司自去年起便開始施行安全性增強計劃,對於
JavaScript或嵌入外部內容可能的安全性問題,已推動第二層密碼,避免如同MySpace案
例中竊取cookies即可更改用戶資料的問題,目前則正進行底層系統的改寫,未來可將XSS
攻擊所產生的損害限制到最小,「我們希望使用者能有最大的空間,同時安全性也能獲得
保障,」他說。
至於Google旗下的Blogger,則很早就留意到XSS漏洞,透過網站本身的底層技術設計,讓
駭客無法藉此施行XSS攻擊。
簡勝財表示,資訊安全永遠存在方便與安全兩股力量的角力,他建議使用者若較常瀏覽開
放性較高、允許用戶插入各種語法或內容的部落格服務,則務必要確認自己的防毒軟體時
時保持更新,「JavaScript的漏洞不容易防,一定要靠資安軟體來幫忙,」他說。
--
雜七雜八的kewang部落格 http://kewang.tw
--
==============================================================================
http://0rz.tw/7a3O1
WretchFAQ - [公告]無名小站使用html語法限制
http://www.wretch.cc/blog/WretchFAQ&article_id=9579339
ZDNet記者馬培治/台北報導 2008/03/27 19:01 本地社群網站龍頭無名小站,以安全性
為由,將自下週(3/31)日起禁止會員在網誌內使用JavaScript語法,並限制特定網站的內
容才能內嵌進無名,引發部分使用者反彈。
無名小站是在本週一(3/24)在官方網頁上公告,將會在Blog的資料夾管理跟網誌敘述以外
的任何可以輸入html的地方,如網誌文章、留言版敘述、名片敘述等處進行語法檢查。若
使用者新增或更改既有內容,而新的內容中又包括JavaScript語法,則該語法便會被系統
刪除。此外,無名也將針對使用者嵌入(embed)的內容設下限制,僅有被無名檢查後認為
安全無虞的網站,其內容才能被嵌入無名,目前無名放行46個網域,包括了YouTube、
Hinet、Yam天空等。
無名小站的作法「照例」引發部份使用者的不滿,並上網留言抗議。代號m933的網友便在
電子公佈欄PTT上留言表示,無名的作法如同「超級大鎖國」,另一網友cuteterisa更直
言,無名此舉恐「又要引起一波出走潮,」他留言表示。
大舉封鎖、設限,無名表示,是為防範日益嚴重的網路安全問題。
「使用者或許會感到不便,但我們把安全問題列為第一優先,」併購無名小站的雅虎奇摩
透過公關經理吳苑如表示,內部安全團隊認為毫無限制允許 JavaScript程式碼運作或嵌
入式內容,可能會遭有心人士利用,散佈內含惡意行為的程式碼或嵌入式內容,「國外已
經有案例,國內狀況雖不嚴重,但我們希望能及早預防,」她說。
身為國內最大社群網站的無名小站,每逢服務更動便動見觀瞻。在此之前,便曾因要求使
用者更改密碼、與雅虎的帳號合併,以及日前推出的「誰來我家」功能疑侵害隱私等事件
,遭使用者上網留言抱怨。
JavaScript應用廣泛 安全常遭疑
被無名禁用的JavaScript,是一種在用戶端執行的腳本語言,由於可以減低伺服器的運算
壓力,且能夠跨不同瀏覽器平台運行,因此被廣泛用於動態網頁的編寫,例如近年來大受
歡迎的AJAX,其實就是使用JavaScript作為動態網頁開發的一種方法。而部落格服務提供
者(Blog Service Provider, BSP)為了讓部落客有更高自主性編寫自己的部落格,多半都
會開放用戶加入自行編寫,或拷貝自他處的JavaScript語法。
不過由於JavaScript是在用戶端電腦執行,便很容易引發用戶端的安全性問題。趨勢科技
技術顧問簡勝財便說,JavaScript依照編寫目的,可能在使用者電腦上執行任何惡意行為
,一直存在安全性爭議。
事實上,資安組織開放Web軟體安全計畫(Open Web Application Security Project,
OWASP)去(2007)年度發表的十大Web安全漏洞,利用JavaScript的跨站指令碼攻擊(Cross
Site Scripting, XSS)便居首位。在2006年,美國知名社群網站MySpace也曾傳出駭客
Samy利用該手法竊取上百萬人的cookies,並藉以假冒本尊以竄改使用者個人檔案。
一般而言,合法網站多會確保交給使用者端執行的JavaScript本身的安全性,但在使用者
可自行編輯的部落格中,惡意使用者在網頁中加入惡意程式碼,無形中也提高了風險。
同業觀望中
其他部落格業者多表示也注意到了此一問題,但多以須衡量使用者喜好與習慣為由,暫持
觀望態度。
Yam天空公關主任葉志昱便說,內部已多次開會討論JavaScript與嵌入外部網站內容的安
全性問題,也曾考慮全面禁止,但因顧慮使用者反應,仍在尋求兩全其美的解決之道。
PIXNET創辦人暨技術長曾皇霖也表示,該公司自去年起便開始施行安全性增強計劃,對於
JavaScript或嵌入外部內容可能的安全性問題,已推動第二層密碼,避免如同MySpace案
例中竊取cookies即可更改用戶資料的問題,目前則正進行底層系統的改寫,未來可將XSS
攻擊所產生的損害限制到最小,「我們希望使用者能有最大的空間,同時安全性也能獲得
保障,」他說。
至於Google旗下的Blogger,則很早就留意到XSS漏洞,透過網站本身的底層技術設計,讓
駭客無法藉此施行XSS攻擊。
簡勝財表示,資訊安全永遠存在方便與安全兩股力量的角力,他建議使用者若較常瀏覽開
放性較高、允許用戶插入各種語法或內容的部落格服務,則務必要確認自己的防毒軟體時
時保持更新,「JavaScript的漏洞不容易防,一定要靠資安軟體來幫忙,」他說。
--
雜七雜八的kewang部落格 http://kewang.tw
--
Tags:
部落格
All Comments
By Isabella
at 2008-03-28T11:45
at 2008-03-28T11:45
By Emily
at 2008-03-29T09:24
at 2008-03-29T09:24
By Tristan Cohan
at 2008-04-01T13:33
at 2008-04-01T13:33
By Edwina
at 2008-04-05T20:44
at 2008-04-05T20:44
By Jessica
at 2008-04-07T02:24
at 2008-04-07T02:24
Related Posts
請問哪些blog可以鎖密碼 ?
By Odelette
at 2008-03-27T19:24
at 2008-03-27T19:24
無名現在要改樣式要VIP??
By Edwina
at 2008-03-27T19:05
at 2008-03-27T19:05
為什麼很多人推blogger?他到底好在哪裡?:(
By Oscar
at 2008-03-27T13:54
at 2008-03-27T13:54
blogger 的TAG
By Kama
at 2008-03-27T12:56
at 2008-03-27T12:56
blogger ie 無法顯示 三篇以上的文章?
By Olga
at 2008-03-27T12:26
at 2008-03-27T12:26