Web2.0时代 人人都该为安全负责
Web 2.0让每个人都成为主角
Web 2.0的信息、情报、服务,不再是Web 1.0那种由上而下、由中心而外的传递方式,而全部改由使用者,以及使用者与来访者互动,所共同创造的价值、意义和服务。服务平台的价值,完全由使用者自行贡献与创造,管理者本身仅需负责让平台能稳定地运作,无须创造内容与信息,例如YouTube、Wikipedia、Flickr、Facebook、Blogspot,以及在台湾具有广大用户的Yahoo!奇摩知识+和无名小站,都是Web 2.0横扫网络世界的最好证明。
在这股浪潮下,使用者对于自己的部落格也好,或是Facebook也罢,都能享有高度的自主性,而平台服务供应商也乐得开放更自由的网页编写语法,让使用者的网页呈现,以及应用程序的混搭(Mesh up)能更不受限。问题在于,当供应服务的管理者倾向开放,而绝大多数的使用者通常不具备信息安全与资料外泄危机意识时,网络的安全漏洞,也紧跟著多样化、自由化的脚步一同愈开愈大。
你有多自由 黑客就有多自由
以最近Websense Security Lab发表的1件研究报告为例,Google Sites、Gmail、YouTube、Blogspot等众多Web-based服务,皆存在许多点阅绑架(Clickjacking)、SQL Injection以及跨网站脚本攻击(Cross-Site-Scripting;XSS)弱点,黑客更可经由多重网站的重新导向(Redirection),一步步将网页浏览者引入网络陷阱当中,最后造成许多个人资料外泄的悲剧。
受害者通常不局限于一般使用者,企业同样也是苦主。先前Websense亚洲与中东区副总裁Tim Lee来台时就曾表示,许多大量倚重高知识员工的企业,根本无力、也因为害怕招致员工反弹,而未禁止员工利用公司网络浏览社交网站与部落格。
举例来说,有人能想象1家媒体的主管,下令禁止所有员工利用公司网络上网查找资料吗?正因为这样的禁令往往无法执行,所以Web 2.0时代所带来的资安风险,非常容易由员工转嫁到企业身上,最终导致企业重要资料外流。
Google是代罪羔羊?
SecTheory执行长Robert “RSnake” Hansen在最近的1场演讲当中,也披露Google Gadget长年以来的点阅绑架漏洞,并直指Google就是因为没有正视他所提出的漏洞,才会导致类似的攻击行为在近年来有愈演愈烈的趋势。
然而Google有错吗?当然有,但问题不可能只出在它身上,因为同样的漏洞Facebook也发生,世界上许多有名的部落格社群,不也一再发生同样的惨事?
笔者认为,Google不过是个倒霉鬼,虽然以它身为全球每日承载量最大的网络服务供应商,因为没有积极修补漏洞而受到这样的批评,不但应该,也是活该,但是重点在于,如果只把这笔帐全部算在Google头上,其实也太小看当代的资安威胁;当前的问题,应该要由整个Web 2.0世代共同面对与承担。
谁想回到Web 1.0?
以现况来说,还有使用者可以接受自己的部落格仅能使用少数的语法、无法外挂应用程序,而且也不能使用RSS订阅吗?当我们每天使用即时通讯软件与电子邮件,和朋友、客户互动,并利用社交网站与亲人、朋友联系感情时,可曾想过每1个环节,都存在社交工程(Social Engineering)攻击手法介入的可能性吗?
现在从8岁到80岁的上网人口,都会使用部落格,也同样都利用层层的点选(click)行为,在虚拟世界中扩大自己的知识脉络与人际网络。但是,当社交工程手法无所不在,所有网页几乎点选即受骇,大量应用程序存在安全漏洞的同时,我们还有办法从Web 2.0时代,回到那如今看起来阳春无比,甚至接近网络洪荒时期的Web 1.0时代吗?相信可以接受的人不会太多,因为「由奢返俭难」的道理,在网络浏览行为上也同样适用。
资服业者保障有限 唯有人人自保才是王道
当然,随著黑客与病毒威胁愈趋猛烈,资服业者也不断地精进防骇技巧。虽然以成果来看,目前资服业者能为使用者提供的安全保证有限,但由于多数使用者的网络安全知识,长期处于贫乏的状态,所以,资服业者能做的保护,可发挥的成效自然有限。
既然在Web 2.0的时代,「每1位」使用者都取代了管理员,成为网络上具有高度自主性的个体,那么,就更应该具备保护自己,并共同维护整体网络社群安全的知识与概念。当代的网络资安威胁,无法完全由资服业者解决,每1位使用者都应该具备更全面的安全防护常识,才能减低在网络上容易受到的威胁与风险。
| 欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com |
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
天下网吧·网吧天下
闽公网安备35010202000238号