content

翻牆問答:瀏覽網站的保安問題

 2013-08-24 03:12 桌面版 简体 打賞 0
    小字

【看中國2013年08月24日訊】DC: 最近有美國網路保安公司發現,西藏流亡政府的中文網站被植入可疑代碼,有可能協助黑客將有問題代碼植入瀏覽者的電腦,因此勸諭網民為安全起見暫時不要瀏覽流亡政府的中文網站。最近西藏流亡政府解決了網站的保安問題。其實黑客怎樣將有問題代碼植入?

李:過往中國當局都是發出一些可疑釣魚郵件,意圖偷取民運人士以至異見人士的資料。但由於谷歌等公司已經加強偵查附有惡意附件的電郵,以及留意發出惡意附件的電郵主機,一般用戶亦對釣魚郵件有所警惕,收到附有可疑附件的郵件會立即刪除,甚至向谷歌舉報。因此,中國當局改為攻擊異見人士或組織的主機,在這些組織或人士的網站植入可疑代碼,藉此向異見人士的電腦植入木馬,加強監控。

而中國黑客之所以能夠植入可疑代碼,有兩種可能手段。中國黑客可以利用網站作業系統的保安漏洞,竄改網頁內容來植入代碼,有部分網路主機代管公司或網站管理人未有定期更新作業系統,就會出現這種問題。而有部分黑客,就攻擊網站內容管理系統或Java企業版的保安漏洞來達到目的,通常見於使用Java搭建的網站主機,或使用網站內容管理系統去管理網站內容的主機。

DC:網民又能不能夠知道自已所瀏覽的網站出了保安問題?

李:對於大部分網站,他們很難知道自己瀏覽的網站出了保安問題,除非黑客所植入的代碼版本太古舊,早就被網站保安公司和瀏覽器開發商注意,令瀏覽器及早發現並提醒用戶,否則用戶是很難知道自已瀏覽的網站出了保安問題。

對部分技術水平比較好的用戶,他們可以藉分析網頁的源代碼來知道網站有問題。但就算是高手,都不會時時刻刻留意網站源代碼的內容,因此這類攻擊事實上是相當狡猾。

DC:除了不瀏覽受感染的網站,有沒有其他方法,防止自已的電腦受惡意網站所感染?

李:其實用戶被惡意網站感染的機會,亦與用戶使用的瀏覽器軟體,以及Java虛擬機器的版本有關。一般而言,如果你能及早更新瀏覽器軟體和Java虛擬機器版本,已經減少了自己的電腦被植入惡意代碼的機會。

但要特別注意,對於使用Windows XP作業系統的舊電腦,升級Java不代表百分百安全,因為你的電腦有可能有幾個,甚至十多個不同版本的Java虛擬機器同時存在。黑客可以試圖使用你機內的舊版虛擬機器來執行惡意代碼。因此,現時有部分瀏覽器在更新後會同時關閉瀏覽器對Java的支援,以防止黑客利用電腦內不同版本的虛擬機器進行攻擊。

由於對一般用戶而言,Java的應用次數不多,除了部分政府和銀行網站會用得上Java,現時很多網頁的互動功能,都可以依靠Javascript等瀏覽器內置支援的語言達致。因此,用戶可以放心關閉Java虛擬機器支援,在要執行特定網站時才開啟Java支援,這樣對你的安全最有保障。

而對使用Windows作業系統和IE的用戶,亦要小心不明來歷的Active X元件,至今中國黑客仍然會用Active X技術漏洞來意圖偷竊用戶資料。

来源:自由亞洲電臺 --版權所有,任何形式轉載需看中國授權許可。 嚴禁建立鏡像網站。
本文短網址:


【誠徵榮譽會員】溪流能夠匯成大海,小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員:每位榮譽會員每年只需支付一份訂閱費用,成為《看中國》網站的榮譽會員,就可以助力我們突破審查與封鎖,向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊, 在危難時刻向他們發出預警,救他們於大瘟疫與其它社會危難之中。

分享到:

看完那這篇文章覺得

評論

暢所欲言,各抒己見,理性交流,拒絕謾罵。

留言分頁:
分頁:


x
我們和我們的合作夥伴在我們的網站上使用Cookie等技術來個性化內容和廣告並分析我們的流量。點擊下方同意在網路上使用此技術。您要使用我們網站服務就需要接受此條款。 詳細隱私條款. 同意