CUN News 電腦新聞台 CUN電腦新聞台 CUN News By Computer User Network (http://hk852.to/cun/) From CNET資訊

1,906愛的鼓勵 2訂閱站台

Gmail將提供可疑活動的細節給用戶，包括使用哪種瀏覽器、IP位址，以及最近登入帳號的時間與日期等。

Google周三推出Gmail新功能，當系統偵測到可疑的活動、可能顯示帳號遭到入侵時，就會自動提醒使用者注意。

之前，Gmail已在收件匣下方顯示資訊，包括最後一次活動的時間，以及是否仍在別處開著。但Gmail產品經理Will Cathcart周三接受訪問時指出，使用者通常都不會想到要查看這些資訊。

因此，Google採取進一步的動作，將以大型橫幅警語方式提醒使用者：「有人正從...(地理區域)存取你的帳號」。換言之，系統一偵測到異常的活動，就會告知使用者的帳號正從何處被人存取。

Cathcart舉例說：「如果你一向從某個國家登入，但突然間，另有人從地球另一邊登入，那就很可疑了。或者，如果系統偵測到某個特定的IP位址正存取眾多帳號並更改這些帳號的密碼，也會觸動系統對受影響的帳號發出警告。」

收到警示橫幅時，使用者可點擊「細節」連結，取得更詳細的資訊，並更改帳號密碼。

Google推Skipfish 可掃Web程式漏洞

Google新發佈的開原碼網路安全掃描器Skipfish，是特別針對網路應用程式的安全漏洞。

Google開發者Michal Zalewski在Skipfish wiki表示，這項工具可掃瞄網路應用程式是否含有一些「難以處理的狀況」，如Blind SQL插入式攻擊，或XML遠端程式注入等瑕疵。

Skipfish根據目錄調查目標網站，並在遞迴爬取（recursive crawl）後產生一份具備互動crawl結果註釋的網站圖。該工具也能產生一份最終報告，作為軟體安全評估的根據。

Zalewski表示，目前還有若干商業和開原碼的掃瞄工具，包括Nikto和Nessus，他建議用戶選用適合自己的工具。不過，Skipfish速度很快，依據被測試的伺服器性能，針對網際網路目標每秒處理500次以上請求，針對LANs每秒處理2,000次以上請求。

Zalewski提醒，Skipfish無法抓出所有問題。該工具刻意不滿足應用程式安全聯盟之安全掃瞄評估準則（Wasc Web Application Security Scanner Evaluation Criteria）列出的所有要求。此外，Skipfish沒有附帶已知弱點的延伸資料庫。

Google請大家以負責的態度使用這項工具。Zalewski寫道：「首先要強調的是，請不要作惡。只針對你擁有的服務使用Skipfish，或者先取得測試許可。」這項工具完全以C語言編寫，授權採用Apache Licence 2.0。最新版本是Skipfish 1.10 beta。