如何能够更好地保护用户隐私信息?安全人员首先要做的就是深入了解SNS网站面临的安全问题。通过分析国内主流SNS网站,研究人员发现出其两大主要安全问题:用户隐私保护不力和XSS蠕虫病毒攻击。在此基础上,我们还可以将问题进一步细化,如与隐私相关的信息泄露、钓鱼攻击、网络诈骗等,与XSS相关的恶意代码传播、大范围用户信息窃取及基于XSS的DDoS攻击等。下面我们结合实际情况对SNS网站面临的安全问题进行详细的描述和分析。
唾手可得的隐私信息
用户隐私问题一直是互联网上一个比较敏感的话题,随着SNS网站的出现及快速发展,用户隐私问题也变得异常严重。从目前我国SNS网站的服务人群来看,主要的用户为学生、白领及其他一些特定的人群,且此类网站大多数为强制实名制,因此使得此类用户的隐私信息更容易暴露在其他用户面前,如果恶意黑客利用此类信息那么后果将难以想像。我们通过人人网的搜索功能,获取某一账户的个人信息如图1所示。
图1:通过人人网搜索到的某用户隐私信息
从图1可以发现该用户的个人信息对外都是可见的,那么如果黑客结合搜索引擎进行“人肉搜索”的话,那么获取到的将会是更多可被黑客恶意利用的敏感信息,利用用户的个人信息或其他隐私信息,黑客便可以进行钓鱼攻击或者欺诈等。
跳板式获取的隐私信息
虽然某些SNS网站对用户信息相关数据有完备的隐私控制策略,但是这种策略并非不能够被黑客加以利用。在人人网上对用户的信息查看时,我们发现,如果用户设置了相应的隐私控制策略以后,一般用户是无法访问该用户的个人主页信息的,如图2所示。
图2:设置隐私相关策略后仍有可被黑客利用的信息
本文来源:天空软件 作者:佚名