CUN News 電腦新聞台 CUN電腦新聞台 CUN News By Computer User Network (http://hk852.to/cun/) From CNET資訊

1,906愛的鼓勵 2訂閱站台

Web 2.0概念網站使用的新式網頁技術，除了其正面意義外，也可能創造了一個安全威脅的新天地。

Web 2.0並沒有嚴謹的定義，但最大的特色在於有別於傳統單向傳播、靜態網頁，而更強調使用者參與、開放、互動的網路技術。其中有些甚至還運用新的技術，以知名的Google Maps為例，即是運用AJAX以及Mash-up技術，使網站伺服器可以從其他網站抓取元件，像是租屋、餐廳、或犯罪資訊，以便將此類資訊整合在其地圖上。

但安全廠商指出，除了更豐富的功能、更炫的介面之外，但一些Web 2.0的網站陸續傳出安全問題。例如現已為News Corp收購的MySpace，即曾傳出Samy與Spaceflash蠕蟲，它們可將這個知名社交網站眾多使用者資料（profile）加以變更。

有些安全風險則來自Web 2.0概念運用的技術，像是AJAX。以AJAX技術開發的網站和瀏覽器有更多互動，而且可以在用戶端PC上執行JavaScript。然而過去， JavaScript經常是攻擊程式入侵使用者電腦的管道，因而許多主流瀏覽器，往往原始設定關閉Java Script的執行功能。AJAX也被認為增加跨網站指令碼（cross-site scripting）攻擊的可能性。

網路加速與安全產品供應商Bluecoat執行長Brian NeSmit即指出，對企業而言，Web 2.0同時意謂著更大的機會及風險。「機會在於應用獲得更大自由與其他程式連結、組合，風險在於，AJAX則實現系統對系統的互動，」他說，「相較於傳統 email是人和人在機器後的互動行為，你已無法保證和你系統對話的是你信任的對象。」

因此他建議，「企業必須建立一個包括安全、身分認證的基礎架構。」

Web 2.0講求分享、使用者參與的精神，可能使本來就存在的問題到「Web 2.0時代」更擴大。

賽門鐵克亞太區首席技術顧問林育民舉例，一般網站在撰寫時並不注重程式安全問題，許多網頁程式普遍有漏洞可能遭到緩衝溢位（buffer overflow）攻擊，而許多號稱Web 2.0的網站仰賴使用者張貼圖片，則一些隱藏在Gif格式圖檔的惡意程式碼，則可能循此漏洞入侵或寄生於網站上。

而瀏覽器有漏洞的使用者若到網站或論壇下載圖片，也可能因此被感染，他說。「以前你只要不要到陌生網站下載圖片，但現在連知名網站也無法確保你倖免於難。」

趨勢科技技術總監王應達則認為，所謂「Web 2.0」網站安全問題其實和過去並沒有太大差異。

Web應用安全問題源頭往往有二個，一是Web應用撰寫時有漏洞，一是網站使用的技術有漏洞，他說，前者可以透過Web開發人員的程式撰寫安全觀念，後者則有賴軟體供應商的技術提升。「AJAX也好、跨網站指令碼也好，這些都不是新東西，而且存在也很久了，只是網站開發人員要切記，不可因為功能面的追求，而忽略安全考量。」

但王應達認為，根據去中心、參與、互動的定義，P2P、檔案交換、部落格都可以被稱為Web 2.0，而這時Web 2.0所衍生出的安全問題，反而在使用者端更加急迫。

「要確保每個從事點對點交換的使用者注意安全，比要求程式設計師難度更高，」他認為，Web 2.0環境之下，分散、去中心化的傳播行為成為可能，進入門檻也更低時，使用者教育將是更重要的一環。

「因為大家都能建立部落格，並不意味著大家都知道有必要去檢查Web程式安全。」他說，「這就給了駭客更容易得逞的機會。」