我看見了,但不爆料、不冷眼,提些有建設性的,希望大家看了有點幫助。
這裡應該會有許多觀念,您不一定要接受,就當參考吧!
資安沒有所謂的絕對,但,你一定要有「您的風格」...
2009年7月18日 星期六
誰在看我的噗 (About Micro-Blogging)?
「微型部落格」在網路上已經熱鬧好一陣子了。你噗了嗎?噗!是噗浪還是叭噗咧!
這裡有介紹頗多的「微型部落格」本身經常會遇到的問題,這裡也有詳細介紹「twitter」所遭遇到的攻擊問題可以參考。OWASP 排行榜上的第一名看來並非浪的虛名。
這篇文將會從使用者的角度來看「微型部落格」所帶來的衝擊,在說明前還是要回顧一下「網站」發展的過程,回顧歷史才能展望未來。不過,這裡我還是要強調一件事:網站攻擊不是現在才有,它一直存在,只是當今其他問題(如蠕蟲、系統漏洞攻擊)大多獲得控制(如線上更新、入侵防禦設備),而你的網站卻一直沒有進步,當然成為標靶了。
「網站」發展的過程,我大概以兩個時間為分界點:2000年及2005年。在2000年以前談的網站大多是所謂的 ERP(企業資源規畫)、EIP(企業資訊入口)、CRM(客戶關係管理)、KM(知識管理)...等,況且哪時這類系統還有許多並非以網站來呈現的,且那時大多屬於封閉型的系統或網站型態,因此大部分躲過了威脅攻擊。
2000年後網路興起,「E化」是當時相當有名的名詞,也是動詞的哩,而網際網路公司可以說是紅到不行,當時股市衡量股價是否合理的方式是用本益比,但對網際網路公司是用「本夢比」,這樣你應該該可以想像網際網路公司即使虧錢,股價依舊高漲不歇,因為夢想多大、股價就有多高。這個時候大家談論的網站是啥呢?大家回想起來了嗎?B2B、B2C、C2C,還有物流、金流、資料流...,是否回想起來了呢?
B2B:大多是整合企業上下游之間的網站系統,這類網站大多封閉,是比較不容易出事,但不代表比較安全,因為會接觸到這邊的,大多可能屬商業間諜,行動隱密也低調;就算出事,業主本身也會相當低調,外界不會知道發生啥事。如果企業主發現你的對手對你的行銷、企劃...等有瞭若指掌的情況,可能要注意這類資訊系統的入侵可能性了。
B2C:簡單的說就是購物網站了,這點大家就應該很熟悉了吧。發生哪些資安問題呢?大家不會忘了吧...XD!google大神的開示。至於政府單位的 B2C ...XD,參考這篇吧。
C2C:簡單說就是拍賣交易網站了。造成哪些問題呢?簡單說就是「詐騙」、「詐欺」的社會問題。
在這個階段,另外有個神奇的東西,它本身不是網站方式呈現,但卻造就不少「釣魚網站」,對!就是 IM(Instant Messaging) 軟體,且它到現在還是很紅。
你!出賣朋友嗎?
網路上交朋友要小心
騙取MSN帳密的釣魚網站...真多!!
2005年之後,所謂的「網誌」大量出現,也就是所謂的部落格(Blog)、網路日誌、博客...等等。在前一波網路泡沫之後,Web 2.0 的觀念,帶動了許多網站的興起。這時你應該能想到很多網站吧!文字的部落客就像我這網站一樣,圖片的無名相簿網站,影音的 YouTube網站。在這個時候產生哪些問題呢?其實機乎不是資安問題,大多是社會問題,文字部分涉及言論自由、圖片部分涉及個人隱私或私密、影音部分多是犯罪實錄...XD。可以發現網路與生活越來越緊密了。
Web 2.0 簡單說,就是有個網站提供一個平台,讓使用者可以自己產生內容,並與其他使用者之間進行互動的一個網站。
2008年後開始出現「微網誌」,讓使用者與其他使用者的互動更加緊密了。所以有 Plurk、Buboo、facebook、twitter...的出現。而 XSS 漏洞透過這類社群網站獲得重生了,XSS 蠕蟲可以在一天之內感染數萬個使用者,甚至造成社群網站服務的效能崩潰。這只是資安問題的。我擔心的是另外一個問題。
B2C 的時代,大家已經把個資瘋狂的送到網路上,個資都已經外洩光了,Web 2.0的時代大家又把私密照片、或是犯罪實錄的影片給 Post 到網路上了。現在呢?噗阿噗!!大家把自己的行蹤、心情、喜怒哀樂、觀點...一大堆潛在人格特質給 Post 到網路上了。原來,在網路上要了解一個人好簡單啊。
微型部落格可能造成:陌生人比你媽還了解你,甚至,陌生人比你還了解你自己;而你卻還不認識隔壁老王。小心有心人的,當遇到難纏的對手,如果還涉及感情,哪可就麻煩了。
社交工程術的發展會將會更加極致,一旦詐騙電話更加了解你,不再是你熟悉的詐騙電話?一旦梁上君子熟知你的行蹤,不用在你的信箱、門牌做記號,上網就知道你在做啥?你該如何全身而退...網路真是讓人又愛又恨!!
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言