搜尋此網誌

2013年6月28日 星期五

1997年9月30日,Microsoft在其網站上宣稱,使用者的瀏覽器接受「Cookie」並不 會讓網站有機會存取個人電腦,或是有關使用者的其他資訊;除非使用者自己另 外做了多餘的設定,此舉,說明了微軟對其瀏覽器IE 4.0版安全性的信心。在過 去的幾個月當中,使用者對於有免費的餅乾(Cookie)可吃,一直抱持著懷疑的態 度,深怕提供餅乾的人會變成芝麻街裡的餅乾怪獸,而此一聲明的目的無非就是 要使用者「放輕鬆」。事實上,使用者真的可以高枕無憂嗎?看起來好像並非如 此! Microsoft與Netscape兩大瀏覽器公司,到目前為止不斷地在功能上相互較勁,新 版出得快到令人眼花撩亂;對於不斷地製造瀏覽器的安全漏洞,兩家公司也有志 一同不遑多讓。貝爾實驗室(Bell Lab)的科 學家Vinod Anupam先生愷切地指出,「只是應急地修正安全的漏洞是不夠的,瀏 覽器的開發必需做全盤瞭解,而不是像救火隊到處防堵。」至於最近一年發生的 瀏覽器安全漏洞到底有哪些?且看「WWW Browser Security & Privacy Flaws」所 做的大公開。 ●1997年10月17日,德國Jabadoo Communications公司的Ralf Huskes先生發現 Microsoft IE 4.0版中的JavaScript存有安全漏洞,當使用者瀏覽含有「惡意」的網 站時會遭到網站伺服器操作員存取已知名稱的文字、HTML及影像檔。Microsoft 已緊急推出軟體補強以修正此一問題,相關文件可以查詢Microsoft Fix Now Available for "Freiburg" Text─Viewing Issue一文。在未安裝該份軟體補強之前,MS IE 4.0的使用者被建議取消Active Scripting的功能使用,除非對瀏覽的網站具有相 當程度的信任。 ●1997年9月8日,MIT的Tim Macinta先生指出,MS IE中的Java配置有缺陷,此一 缺陷將導致惡意網站的操作員直接摧毀使用者硬碟上的資料。MS IE 3.0及4.0的使 用者只要是自Microsoft下載Java(SDK 2.0 beta),並使用於Windows 95或NT的平台 均會受到威脅;Macintosh與Windows 3.1的使用者則不受影響。 【】 在短短不到半年時間之內,微軟與Netscape的瀏覽器就走樣了這麼多次,所影響 的平台從Windows 95/NT到Unix,即使有防火牆的屏障也不能免疫,這樣的瀏覽 器叫人如何能夠放心?難道這種其況的發生,與兩家公司拼命釋出新版軟體有關 ? 在過去6個月中並沒有Cookie的安全漏洞新聞,頻頻出現的反而是Java與JavaScript 的問題,看來喝「爪哇」牌咖啡(Java)雖然是跟著流行走,卻一樣沒法令人安心 。雖然Cookie的安全威脅大致已經事過境遷,但其發生的原因仍然值得我們回顧 。話說電子商務一直是微軟無法忘情的賺錢好地方,雖然其他廠商如IBM與HP併 購的Veri Fone動作頻頻,微軟仍力拱自己的「Merchant Server」軟體,企圖在這 個市場上分得一杯羹,而Cookie就扮演了重要的角色。這一塊小Cookie約佔4K的 檔案大小,由伺服器產生並儲存在使用者的PC上,當使用者使用提供Cookie功能 的瀏覽器瀏覽網站時,Merchant Server就會賦予一個「Shopper ID」,並更新使用 者的Cookie資訊內容。如果網站容許使用者自行訂定自己的喜好,例如新聞論壇 的項目,那麼這些喜好的資訊也會儲存到cookie.txt(或cookies.txt)檔案內。當下一 次使用者再度光臨該網站時,伺服器藉著Cookie檔的資訊紀錄,就可以知道使用 者是誰、其設定為何,甚至最後使用者的使用環境等。 Cookie的原始構想其實並不差,對使用者而言確實也很方便,但是問題在誰曉得 伺服器會給使用者什麼樣的Cookie呢?舉例來說,一個駭客網站就可以輕而易舉 地將電腦病毒送給吃Cookie的使用者。對於這種安全漏洞,連著名的電腦雜誌公 司ZDNet也不禁手癢,推出了CookieMaster軟體以協助網友們拒吃餅乾。

1997年9月30日,Microsoft在其網站上宣稱,使用者的瀏覽器接受「Cookie」並不 會讓網站有機會存取個人電腦,或是有關使用者的其他資訊;除非使用者自己另 外做了多餘的設定,此舉,說明了微軟對其瀏覽器IE 4.0版安全性的信心。在過 去的幾個月當中,使用者對於有免費的餅乾(Cookie)可吃,一直抱持著懷疑的態 度,深怕提供餅乾的人會變成芝麻街裡的餅乾怪獸,而此一聲明的目的無非就是 要使用者「放輕鬆」。事實上,使用者真的可以高枕無憂嗎?看起來好像並非如 此! Microsoft與Netscape兩大瀏覽器公司,到目前為止不斷地在功能上相互較勁,新 版出得快到令人眼花撩亂;對於不斷地製造瀏覽器的安全漏洞,兩家公司也有志 一同不遑多讓。貝爾實驗室(Bell Lab)的科 學家Vinod Anupam先生愷切地指出,「只是應急地修正安全的漏洞是不夠的,瀏 覽器的開發必需做全盤瞭解,而不是像救火隊到處防堵。」至於最近一年發生的 瀏覽器安全漏洞到底有哪些?且看「WWW Browser Security & Privacy Flaws」所 做的大公開。 ●1997年10月17日,德國Jabadoo Communications公司的Ralf Huskes先生發現 Microsoft IE 4.0版中的JavaScript存有安全漏洞,當使用者瀏覽含有「惡意」的網 站時會遭到網站伺服器操作員存取已知名稱的文字、HTML及影像檔。Microsoft 已緊急推出軟體補強以修正此一問題,相關文件可以查詢Microsoft Fix Now Available for "Freiburg" Text─Viewing Issue一文。在未安裝該份軟體補強之前,MS IE 4.0的使用者被建議取消Active Scripting的功能使用,除非對瀏覽的網站具有相 當程度的信任。 ●1997年9月8日,MIT的Tim Macinta先生指出,MS IE中的Java配置有缺陷,此一 缺陷將導致惡意網站的操作員直接摧毀使用者硬碟上的資料。MS IE 3.0及4.0的使 用者只要是自Microsoft下載Java(SDK 2.0 beta),並使用於Windows 95或NT的平台 均會受到威脅;Macintosh與Windows 3.1的使用者則不受影響。 【】 在短短不到半年時間之內,微軟與Netscape的瀏覽器就走樣了這麼多次,所影響 的平台從Windows 95/NT到Unix,即使有防火牆的屏障也不能免疫,這樣的瀏覽 器叫人如何能夠放心?難道這種其況的發生,與兩家公司拼命釋出新版軟體有關 ? 在過去6個月中並沒有Cookie的安全漏洞新聞,頻頻出現的反而是Java與JavaScript 的問題,看來喝「爪哇」牌咖啡(Java)雖然是跟著流行走,卻一樣沒法令人安心 。雖然Cookie的安全威脅大致已經事過境遷,但其發生的原因仍然值得我們回顧 。話說電子商務一直是微軟無法忘情的賺錢好地方,雖然其他廠商如IBM與HP併 購的Veri Fone動作頻頻,微軟仍力拱自己的「Merchant Server」軟體,企圖在這 個市場上分得一杯羹,而Cookie就扮演了重要的角色。這一塊小Cookie約佔4K的 檔案大小,由伺服器產生並儲存在使用者的PC上,當使用者使用提供Cookie功能 的瀏覽器瀏覽網站時,Merchant Server就會賦予一個「Shopper ID」,並更新使用 者的Cookie資訊內容。如果網站容許使用者自行訂定自己的喜好,例如新聞論壇 的項目,那麼這些喜好的資訊也會儲存到cookie.txt(或cookies.txt)檔案內。當下一 次使用者再度光臨該網站時,伺服器藉著Cookie檔的資訊紀錄,就可以知道使用 者是誰、其設定為何,甚至最後使用者的使用環境等。 Cookie的原始構想其實並不差,對使用者而言確實也很方便,但是問題在誰曉得 伺服器會給使用者什麼樣的Cookie呢?舉例來說,一個駭客網站就可以輕而易舉 地將電腦病毒送給吃Cookie的使用者。對於這種安全漏洞,連著名的電腦雜誌公 司ZDNet也不禁手癢,推出了CookieMaster軟體以協助網友們拒吃餅乾。

沒有留言:

張貼留言