防范恶意程式　无名小站全面禁加Javascript 文/赵郁竹 2008-10-14 资安组织chroot日前发出一份公告，指出无名小站存在XSS漏洞，这很有可能才是无名紧 急修改政策的真正原因。 无名小站周一贴出公告，今天（10/14）中午开始全面禁止新增、修改Javascript语法。 根据无名表示，此举为考量网友使用安全，不过使用者往後将不得再新增小时钟、音乐播 放、联播贴纸、联播广告等利用Javascript放置的外挂程式。 无名小站在公告中指出，为了避免有心人士藉由恶意程式语法散布病毒或木马程式，今天 开始网志边栏和网志叙述将不提供新增置放Javascript语法之功能。不过据了解，资安组 织chroot日前发出一份公告，指出无名小站存在跨站脚本攻击漏洞（XSS, Cross-Site Scripting），这很有可能才是无名紧急修改政策的真正原因。 Yahoo!奇摩公关经理吴苑如回应表示，透过语法可进行的恶意攻击很多，如果骇客攻击的 是网站平台，平台可以有效控制；不过若是攻击浏览者，就难以预防。因此虽然禁用 Javascript会造成使用者些许不便，却是较能保障网友浏览安全的做法。 事实上，无名在今年3月时已经开始修改语法使用规定，除了网志边栏和网志叙述外，不 得新增、修改Javascript。这次全面禁用Javascript，也是上一波管理政策的延伸。吴苑 如强调，以前置入的语法还会继续运作，只是不能修改、新增，工程人员未来会在确认安 全无虞之後逐步开放边栏可运用的Javascript。 对於无名以此种方式强化平台安全性，不愿具名的资安专家表示，禁用Javascript可以说 是最全面的保障措施，虽然可透过後台机制解决，「不过就算防了999项，只要漏了一项 还是会出事。」他说，从资安角度来看，对於无名的做法他相当认同。 但也有其他资安专家持不同看法，专门揭露台湾网站被植入恶意连结、存在XSS或其他安 全漏洞的部落客邱春树（Roger）就认为，无名直接限制Javascript对於使用者影响太大 ，并非最好的处理方式，应该可以从无名本身系统防护进行检视。不过透过Javascript植 入恶意程式的确是网站很容易遇到的问题，可以说相当普遍。 目前也有业者采用和无名相同做法，如wordpress也是完全限制javascript。痞客帮（ Pixnet）则未限制，而是从系统面加强安全性。Pixnet日前才因安全考量进行後台大改版 ，在後端程式码、网站架构都提升了安全性。并将前後台网域拆开，也可降低遭XSS攻击 的风险。 http://www.ithome.com.tw/itadm/article.php?c=51428 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 134.208.2.112