避免骇客入侵 四方法降低风险
更新日期:2009/10/21 14:56 吕明洁
http://tw.news.yahoo.com/article/...115/1tee8.html【台湾醒报记者吕明洁报导】网路购物、交友等都可藉网站达到目的,但是你正在浏览的网站真的安全吗?成功大学电机工程学系教授赖溪松在10月《科学发展》月刊中表示,「没有任何一个网站是安全的。」他提出四大方法减低骇客入侵风险,包括不上高风险网站、定期更新修补程式、勿随意点选信件中的连结,及善用「我的最爱」功能。
在部落格上使用密码锁住文章、照片,真的有用吗?赖溪松在〈网站安全停看听〉一文中指出,当使用的网站有资料库防护的漏洞,等于是把密码自动奉送给骇客。因为真正高明的骇客不会浪费时间猜测密码,而是直接读取储存密码的网站资料库。
一般人认为,浏览知名网站可降低遭骇客入侵的风险。但根据Google调查,全球共有10%以上的网站暗藏危机。甚至有研究报告指出,每天共可检测出近3万个含有恶意程式的网站,其中高达80%是合法网站。赖溪松认为,这代表使用者依赖、信任的网站,随时处在被骇客攻陷的危机中。
成大资通安全研发中心专案经理钟沛原在文中表示,根据国际研究组织OWASP(Open Web Application Security Project)的调查统计,SQL Injection和XSS攻击手法分别是排名10大网站安全威胁的前两名。
SQL Injection可趁机窃取网站机密资料,例如使用者帐号密码,造成网站和使用者的损失。XSS攻击不只可窃取网站的资料,还包含个人电脑的资料和掌控权。
赖溪松提出四种方法,降低遭骇客入侵的危险。包括不上高风险网站,如色情网站、骇客教学网站、论坛网站(提供音乐、电影等非法档案分享)等。这类网站的使用者容易下载网站或软体、档案,提供骇客散播恶意程式(病毒)的机会。
其次是定期更新修补程式(包含作业系统、浏览器、应用软体等),做好资安防护的基本配备。还有勿随意点选信件中的连结,以免连上恶意「钓鱼网站」,泄漏个人资料。
最后是善用浏览器「我的最爱」功能,将固定使用的网站连结,记录在电脑中,减少间接连结的风险。
