讓我們再創台灣的資安奇蹟。啊~~~ 福氣啦!!
9 |
同事Pass給我一個台灣某銀行WebATM的安裝設明網頁,裡面有段嚇人的設定說明:
我想連許多網頁開發者都不是很清楚這個設定的影響吧! 所謂標示為不安全,並不是元件設計有瑕疵或是摻有惡意程式碼,而是指基於功能需要,元件提供了一些可被Script呼叫的函數,而可能讓Script做出某些影響系統安全的動作。舉例來說,某顆ActiveX元件提供一個函數ReadFile(ByVal FilePath),可讀取呼叫者指定的檔案,並以字串傳回檔案內容。若呼叫的Script傳入C:\WINDOWS\system32\...之類的檔案路徑,則意味著網頁有可能透過ActiveX元件窺伺客戶端的重要系統檔案。針對這類函數,開發者(呃... 只限有良心的專業開發者吧!)可以在開發元件時,加註類似"函數可能會被用來為非作歹"的警語,提醒使用者提高警覺。
前述WebATM的說明,要求使用者對信任的網站停用此警語,雖然使用者擅將不安全網站加入加入信任網站清單的機率不高,但每關閉一項警示功能,就象徵著風險上升,就資安的角度來看,網站在未說明風險的情況下,指示使用者進行具有風險的操作,算是有瑕疵的。(若發生在美國,應可以告到網站經營者傾家蕩產吧!)
寫這篇Blog的同時,為了謹慎起見,我親自連上該銀行的WebATM,由官方網站的連結連不到前述的畫面,安裝說明的網頁改了,心想: 嗯,還好還好,知錯能改,善莫大焉。
此時,向下瞄了幾行,卻讓我驚駭莫名,冷汗直冒: "控制台-->網際網路選項-->安全性-->自定層級,有關Active X項目請全部啟用"
sn ...o
我寧可相信這是某個廠商為了少接幾通客服電話想出來的"插銷伊去西"絕技,反之,若說這是某位網路銀行Developer嘔心瀝血認真想出的"解決方案"!!! 啊~~~ 福氣啦!!
Comments
# by laneser
連買認證的年費都出不起的話...大有問題啊...
# by frances
謝謝您的指教!元件是簽署過的,可以安心使用喔~~ 是安裝說明撰寫的疏忽,會儘快修正!!
# by pennisch
元件提供了一些可被Script呼叫的函數,而可能讓Script做出某些影響系統安全的動作。舉例來說,某顆ActiveX元件提供一個函數ReadFile(ByVal FilePath),可讀取呼叫者指定的檔案,並以字串傳回檔案內容。若呼叫的Script傳入C:\WINDOWS\system32\...之類的檔案路徑,則意味著網頁有可能透過ActiveX元件窺伺客戶端的重要系統檔案 =================================== 這個例子其實大有問題,因為大家都知道此問題的來源是微軟內建的filesystem元件所導因的,銀行安控都不會使用此元件而是將它關閉,因此作者要呼籲的應該說明清楚是擔心用戶上到駭客網站(也就是客戶未信任但誤上的網站)下載到木馬程式之類,導致客戶系統安資出問題,而不是該銀行安資出問題。
# by pennisch
元件提供了一些可被Script呼叫的函數,而可能讓Script做出某些影響系統安全的動作。舉例來說,某顆ActiveX元件提供一個函數ReadFile(ByVal FilePath),可讀取呼叫者指定的檔案,並以字串傳回檔案內容。若呼叫的Script傳入C:\WINDOWS\system32\...之類的檔案路徑,則意味著網頁有可能透過ActiveX元件窺伺客戶端的重要系統檔案 =================================== 這個例子其實大有問題,因為大家都知道此問題的來源是微軟內建的filesystem元件所導因的,銀行安控都不會使用此元件而是將它關閉,因此作者要呼籲的應該說明清楚是擔心用戶上到駭客網站(也就是客戶未信任但誤上的網站)下載到木馬程式之類,導致客戶系統安資出問題,而不是該銀行安資出問題。
# by pennisch
舉例來說,某顆ActiveX元件提供一個函數ReadFile(ByVal FilePath),可讀取呼叫者指定的檔案,並以字串傳回檔案內容。若呼叫的Script傳入C:\WINDOWS\system32\...之類的檔案路徑,則意味著網頁有可能透過ActiveX元件窺伺客戶端的重要系統檔案 =================================== 這個例子其實大有問題,因為大家都知道此問題的來源是微軟內建的filesystem元件所導因的,銀行安控都不會使用此元件而是將它關閉,因此作者要呼籲的應該說明清楚是擔心用戶上到駭客網站(也就是客戶未信任但誤上的網站)下載到木馬程式之類,導致客戶系統安資出問題,而不是該銀行安資出問題。
# by Jeffrey
to pennisch, 是的,那個具有ReadFile()函數的ActiveX元件是我假想出來的,用以說明何謂"不標示為安全的ActiveX控制項",但它指的並非微軟內建的FileSystem元件,應是我虛搆某個考慮不周廠商所寫的不安全元件。 我認為銀行網站的過失在於教導使用者關閉原有的保護,忽略且未提醒可能衍生的風險。而風險如您所提,的確就是客戶因關閉防護而在瀏覽其他網站中毒或被掛馬。謝謝您的補充。
# by 路人甲乙丙丁
pennisch 說 不是銀行資安出問題, 是阿,沒錯阿,銀行資安沒問題, 但是銀行讓使用者電腦出問題的風險變大阿, 這不是一種負責任的作法吧 XD
# by mj
昨晚上網報稅,剛好又瞄到WebATM的網站,看來他又做了部分更新,有先把WebATM丟到信任的網站,不過還是Active火力全開...... 減少幾通客服電話當然是件好事,不過因此犧牲掉使用者的資安,那我會選擇辛苦一點親自跑趟銀行,畢竟銀行門口還有保全可以讓我安心一點點。 anyway~~當然這些個銀行or政府系統不會透過Active幹些鳥事,但若是按照網站更新前的資訊去做設定,跟國家叫士兵光著屁股在諾曼地搶灘沒兩樣。
# by 李義山 可達志
to pennisch 我有些電腦問題要請教你,可以請你聯絡我嗎? kuixiang@livemail.tw