2011年8月21日 星期日

個人隱私:「我回不去了」‧‧‧(網路上裸奔

[行動裝置爆炸的年代]
前兩年大家都在講「雲」,講造雲,今年開始「端」終於正式成形了。

也許很多人會說,「PC & NB」不就是端點了嗎?不,我認為不是這樣的。如果它真的是端點,哪過去十年不也是雲端了嗎?這又有何不同呢?我想過去這兩年,大家也認為這樣的雲端只不過是舊瓶新裝罷了。況且,這樣的端點,除了運算能力,其他的就一無是處了。這樣的「端」太遜了。

哪究竟啥是「端」呢?是的,如果大家有去今年初的「台北國際資訊安全科技展暨亞太資訊安全論壇」,聽一兩場「新科技-行動安全」的場子,你就會發現「智慧型手機」與「平板電腦」站出來了。站出來還不夠,還得有硬功夫才行。

我們來看看有何硬功夫,先看看「端」與「PC & NB」有哪些相同的地方:運算能力、儲存空間、數位鏡頭、喇叭、麥克風;「智慧型手機」與「平板電腦」除了數位鏡頭較佳外,這些相同之處一點都不起眼,甚至遜色很多,尤其是運算能力及儲存空間,這些行動裝置是遠遠比不上的,但十年後也許就很難說了。

2011年4月3日 星期日

上網安全之邪惡短網址 (Surfing Secure for URL Shortening Services)

先利用 google 搜尋關鍵字:「短網址」,就可以知道何謂短網址。或者查詢維基百科(Wiki)也行。

常見短網址服務的網域有:
http://tinyurl.com/
http://0rz.tw/
http://0rz.com/
http://ppt.cc/
http://goo.gl/
http://bit.ly/
... ... 其他好多!! 總之我用邪惡短網址稱呼。也許它全然不是壞的,但是幾百個短網址連結,出現一個問題,可能就很頭大;問題是如果要檢查幾百個短網址可能更頭大,你該如何自處呢?點還不點連結?

2011年3月14日 星期一

上網安全之Cookie/Session (Surfing Secure for Cookie/Session)

Cookie/Session 不注意,無法確保網路身份遭到冒用或濫用。

這個議題很嚴重,但卻沒人注意問題的嚴重性。目前主流的瀏覽器都有所謂「Tab」功能,IE 稱為「索引標籤」、Chrome & FireFox稱為「分頁」、Safari還用到兩個名稱「索引標籤」與「標籤頁」。要特別注意,目前這些新版瀏覽器,只要是同類瀏覽器,不管你開啟幾個視窗或幾個「Tab」,預設來說都會擁有相同的 Cookie/Session 身份,因為對於系統來說,預設它們都處於一個相同的 Process上。這跟早期的瀏覽器運作很不一樣,早期一個瀏覽器視窗會有獨立的 Process,因此,Cookie/Session 身份很容易切割。

這會帶來甚麼問題呢?看看下圖。如果已經在一個「Tab」登入了 MSN,這時另外一個「Tab」登入 FB 之後,如果點擊了「尋友工具」,會有甚麼結果呢?

2011年3月5日 星期六

上網安全之Active X (Surfing Secure for Active X)

當心遭惡意利用 Active X 元件軟體。

這問題經常發生於早期首頁綁架、彈出式廣告視窗...等,瀏覽器異常狀況的問題起因。

Active X 是 IE 瀏覽器上,很特別的一個功能,也僅能在 IE 瀏覽器上使用,其他瀏覽器如 FireFox、Chrome 等,並未支援 Active X 功能。首先,你一定得要先看看微軟對 Active X 的說明:「在電腦上安裝 ActiveX 控制項是否安全?」
網址為:http://www.microsoft.com/taiwan/protect/yourself/downloads/activex.mspx

Active X 翻譯中文,很多人用「附加元件」的名稱,但要注意,FireFox 也有所謂的「附加元件」,不過英文是「Add-on」,其兩者功能與作用上很類似,但實際上是不一樣的,所以,還是以英文來稱呼,比較不容易搞混。至於 Chrome 也有類似的功能,稱為「Google Chrome Extensions (Google 瀏覽器擴充功能)」。這些所謂的套件或元件並不能跨瀏覽器使用的,目前 FireFox 與 Chrome 的附加元件或擴充功能,有進行一些機制的控管,但是也要注意使用到惡意的附加元件或擴充功能,導致瀏覽器的異常。建議由下列網址抓取附加元件或擴充功能會比較安全:
FireFox:https://addons.mozilla.org/
Chrome:https://chrome.google.com/extensions
至於,Active X 就沒有統一的管控機制,因此也比較容易被利用,這也是對此特別說明的原因。

Active X 出現畫面:

2011年2月19日 星期六

上網安全之HTTPS/SSL (Surfing Secure for HTTPS/SSL)

上網安全這是個很大的議題,尤其在電子郵件的用戶端程式 Web 化後,網友只要以瀏覽器就能完成所有事情,不過還是有部分網友習慣使用特定的收信軟體,如Outlook…等,主要原因還是用於同步周邊裝置,如早期的 PDA、智慧型手機…等。但,大部分的網友,多半只要有瀏覽器就可以完成上網作業以及所需工作。
當使用者對瀏覽器的依賴持續加深,成為不可或缺的工具,相對的,對瀏覽器的操作使用就必須更加深入了解才行,善用工具、正確使用、建立防護觀念,將會是網友持續努力的一個課題。

這邊將針對 SSL (Secure Sockets Layer) 、 Active X、Cookie/Session 身份管控、短網址...等各部分來說明,為了灌水使網友充分了解,這裡將分文說明:

首先是 SSL,它並不代表這個網站是很安全、不會被入侵的。

SSL 是一種加密技術,主要用於網際網路的傳輸加密,指的是「瀏覽器」與「網站」之間,透過網際網路時,會使用加密技術傳遞資料,避免他人在中間竊取網路封包,窺探網友的瀏覽網頁內容資訊;一般大多實作為 HTTPS 方式,也就是說瀏覽網站的網址開頭會是「https://xxx.xxx/」,但要注意的是並非「https」開頭,就表示有加密,必須要多識別一個圖示:

(圖片來源:http://www.microsoft.com/hk/athome/chinese/security/images/online/74349_https_F.jpg)

2011年1月22日 星期六

當個資都不個資了

社群浪潮席捲網路後,接續,有的入口網站也玩起了無生意、山寨文化、一窩蜂的把戲。

還記得你的 MSN 及 Yahoo 帳號嗎?還記得上面填寫了哪些個資呢?你的交友資訊呢?它們可能都一一被公開了。

如果這舉動在兩三年以前做,可能會被網路鄉民公嗶到嗶(礙於網路善良風氣,部分已消音處理)。但,物轉星移,竟...一...片...寂...靜...,鄉民聚眾裸奔。

看看畫面如何:
MSN-所有朋友

Yahoo-關係列表