讓我們再創台灣的資安奇蹟。啊~~~ 福氣啦!!
同事Pass給我一個台灣某銀行WebATM的安裝設明網頁,裡面有段嚇人的設定說明:
我想連許多網頁開發者都不是很清楚這個設定的影響吧! 所謂標示為不安全,並不是元件設計有瑕疵或是摻有惡意程式碼,而是指基於功能需要,元件提供了一些可被Script呼叫的函數,而可能讓Script做出某些影響系統安全的動作。舉例來說,某顆ActiveX元件提供一個函數ReadFile(ByVal FilePath),可讀取呼叫者指定的檔案,並以字串傳回檔案內容。若呼叫的Script傳入C:\WINDOWS\system32\...之類的檔案路徑,則意味著網頁有可能透過ActiveX元件窺伺客戶端的重要系統檔案。針對這類函數,開發者(呃... 只限有良心的專業開發者吧!)可以在開發元件時,加註類似"函數可能會被用來為非作歹"的警語,提醒使用者提高警覺。
前述WebATM的說明,要求使用者對信任的網站停用此警語,雖然使用者擅將不安全網站加入加入信任網站清單的機率不高,但每關閉一項警示功能,就象徵著風險上升,就資安的角度來看,網站在未說明風險的情況下,指示使用者進行具有風險的操作,算是有瑕疵的。(若發生在美國,應可以告到網站經營者傾家蕩產吧!)
寫這篇Blog的同時,為了謹慎起見,我親自連上該銀行的WebATM,由官方網站的連結連不到前述的畫面,安裝說明的網頁改了,心想: 嗯,還好還好,知錯能改,善莫大焉。
此時,向下瞄了幾行,卻讓我驚駭莫名,冷汗直冒: "控制台-->網際網路選項-->安全性-->自定層級,有關Active X項目請全部啟用"
sn ...o
我寧可相信這是某個廠商為了少接幾通客服電話想出來的"插銷伊去西"絕技,反之,若說這是某位網路銀行Developer嘔心瀝血認真想出的"解決方案"!!! 啊~~~ 福氣啦!!
0 Comments:
Post a Comment
<< Home