讓我們再創台灣的資安奇蹟。啊~~~ 福氣啦!!

同事Pass給我一個台灣某銀行WebATM的安裝設明網頁，裡面有段嚇人的設定說明:

我想連許多網頁開發者都不是很清楚這個設定的影響吧! 所謂標示為不安全，並不是元件設計有瑕疵或是摻有惡意程式碼，而是指基於功能需要，元件提供了一些可被Script呼叫的函數，而可能讓Script做出某些影響系統安全的動作。舉例來說，某顆ActiveX元件提供一個函數ReadFile(ByVal FilePath)，可讀取呼叫者指定的檔案，並以字串傳回檔案內容。若呼叫的Script傳入C:\WINDOWS\system32\...之類的檔案路徑，則意味著網頁有可能透過ActiveX元件窺伺客戶端的重要系統檔案。針對這類函數，開發者(呃... 只限有良心的專業開發者吧!)可以在開發元件時，加註類似"函數可能會被用來為非作歹"的警語，提醒使用者提高警覺。
前述WebATM的說明，要求使用者對信任的網站停用此警語，雖然使用者擅將不安全網站加入加入信任網站清單的機率不高，但每關閉一項警示功能，就象徵著風險上升，就資安的角度來看，網站在未說明風險的情況下，指示使用者進行具有風險的操作，算是有瑕疵的。(若發生在美國，應可以告到網站經營者傾家蕩產吧!)
寫這篇Blog的同時，為了謹慎起見，我親自連上該銀行的WebATM，由官方網站的連結連不到前述的畫面，安裝說明的網頁改了，心想: 嗯，還好還好，知錯能改，善莫大焉。
此時，向下瞄了幾行，卻讓我驚駭莫名，冷汗直冒: "控制台-->網際網路選項-->安全性-->自定層級，有關Active X項目請全部啟用"
sn ...o

我寧可相信這是某個廠商為了少接幾通客服電話想出來的"插銷伊去西"絕技，反之，若說這是某位網路銀行Developer嘔心瀝血認真想出的"解決方案"!!! 啊~~~ 福氣啦!!