阿碼外傳-阿碼科技非官方中文 Blog: 誰在看我的噗?第四回:我噗誰在看!

2009年7月20日

誰在看我的噗?第四回:我噗誰在看!



微型部落格」在網路上已經熱鬧好一陣子了。你噗了嗎?噗!是噗浪還是叭噗咧!

誰在看我的噗?前三回已經介紹頗多的「微型部落格」本身經常會遇到的問題,我們部落格上之前也有詳細介紹「twitter」所遭遇到的攻擊問題,可以參考這裡OWASP 排行榜上的第一名看來並非浪的虛名。

這篇文將會從使用者的角度來看「微型部落格」所帶來的衝擊,在說明前還是要回顧一下「網站」發展的過程,回顧歷史才能展望未來。不過,這裡我還是要強調一件事:網站攻擊不是現在才有,它一直存在,只是當今其他問題(如蠕蟲、系統漏洞攻擊)大多獲得控制(如線上更新、入侵防禦設備),而你的網站卻一直沒有進步,當然成為標靶了。

「網站」發展的過程,我大概以兩個時間為分界點:2000年及2005年。在2000年以前談的網站大多是所謂的 ERP(企業資源規畫)、EIP(企業資訊入口)、CRM(客戶關係管理)、KM(知識管理)...等,況且哪時這類系統還有許多並非以網站來呈現的,且那時大多屬於封閉型的系統或網站型態,因此大部分躲過了威脅攻擊。

2000年後網路興起,「E化」是當時相當有名的名詞,也是動詞的哩,而網際網路公司可以說是紅到不行,當時股市衡量股價是否合理的方式是用本益比,但對網際網路公司是用「本夢比」,這樣你應該該可以想像網際網路公司即使虧錢,股價依舊高漲不歇,因為夢想多大、股價就有多高。這個時候大家談論的網站是啥呢?大家回想起來了嗎?B2B、B2C、C2C,還有物流、金流、資料流...,是否回想起來了呢?

B2B:大多是整合企業上下游之間的網站系統,這類網站大多封閉,是比較不容易出事,但不代表比較安全,因為會接觸到這邊的,大多可能屬商業間諜,行動隱密也低調;就算出事,業主本身也會相當低調,外界不會知道發生啥事。如果企業主發現你的對手對你的行銷、企劃...等有瞭若指掌的情況,可能要注意這類資訊系統的入侵可能性了。

B2C:簡單的說就是購物網站了,這點大家就應該很熟悉了吧。發生哪些資安問題呢?大家不會忘了吧...XD!google大神的開示。至於政府單位的 B2C ...XD,參考這篇吧。

C2C:簡單說就是拍賣交易網站了。造成哪些問題呢?簡單說就是「詐騙」、「詐欺」的社會問題。

在這個階段,另外有個神奇的東西,它本身不是網站方式呈現,但卻造就不少「釣魚網站」,對!就是 IM(Instant Messaging) 軟體,且它到現在還是很紅。
你!出賣朋友嗎?
網路上交朋友要小心
騙取MSN帳密的釣魚網站...真多!!

2005年之後,所謂的「網誌」大量出現,也就是所謂的部落格(Blog)、網路日誌、博客...等等。在前一波網路泡沫之後,Web 2.0 的觀念,帶動了許多網站的興起。這時你應該能想到很多網站吧!文字的部落客就像我們阿碼外傳一樣,圖片的無名相簿網站,影音的 YouTube網站。在這個時候產生哪些問題呢?其實機乎不是資安問題,大多是社會問題,文字部分涉及言論自由、圖片部分涉及個人隱私或私密、影音部分多是犯罪實錄...XD。可以發現網路與生活越來越緊密了。

Web 2.0 簡單說,就是有個網站提供一個平台,讓使用者可以自己產生內容,並與其他使用者之間進行互動的一個網站。

2008年後開始出現「微網誌」,讓使用者與其他使用者的互動更加緊密了。所以有 PlurkBuboofacebooktwitter...的出現。而 XSS 漏洞透過這類社群網站獲得重生了,因為社群網站使用者眾多,XSS 蠕蟲可以在一天之內感染數萬個使用者,甚至造成社群網站服務的效能崩潰。這只是資安問題的。我擔心的是另外一個問題。

B2C 的時代,大家已經把個資瘋狂的送到網路上,個資都已經外洩光了,Web 2.0的時代大家又把私密照片、或是犯罪實錄的影片給 Post 到網路上了。現在呢?噗阿噗!!大家把自己的行蹤、心情、喜怒哀樂、觀點...一大堆潛在人格特質給 Post 到網路上了。原來,在網路上要了解一個人好簡單啊。

微型部落格可能造成:陌生人比你媽還了解你,甚至,陌生人比你還了解你自己;而你卻還不認識隔壁老王。小心有心人的,當遇到難纏的對手,如果還涉及感情,哪可就麻煩了。

社交工程術的發展會將會更加極致,一旦詐騙電話更加了解你,不再是你熟悉的詐騙電話?一旦梁上君子熟知你的行蹤,不用在你的信箱、門牌做記號,上網就知道你在做啥?你該如何全身而退...網路真是讓人又愛又恨!!

作者 Crane 為阿碼科技一員
系列第一篇:誰在看我的噗?第一回:DOM沙盒 vs 跨網站腳本漏洞(XSS)
系列第二篇:誰在看我的噗?第二回:IE執行模式 vs 跨網站腳本漏洞(XSS)
系列第三篇:誰在看我的噗?第三回:弔詭的過濾函式
系列第四篇:(本篇)誰在看我的噗?第四回:我噗誰在看!

2 篇回應 :

憨死 提到...

恩....
本來想說在網路上透明化自己
避免有人冒充我做奇怪的事...

是我太老實了嗎Q_Q

然後我又去Google一下自己的暱稱
似乎把憨死當暱稱的很少XD

小叮 提到...

同樓上,我也有相同的經驗..
後來把暱稱改成這個..不過ID就沒法改:S

這也是為什麼我不敢用Facebook....(我都用我老婆的..XD)

張貼留言