阿碼外傳-阿碼科技非官方中文 Blog: 03/01/2011 - 04/01/2011

2011年3月14日

上網安全之Cookie/Session (Surfing Secure for Cookie/Session)

Cookie/Session 不注意,無法確保網路身份遭到冒用或濫用。

這個議題很嚴重,但卻沒人注意問題的嚴重性。目前主流的瀏覽器都有所謂「Tab」功能,IE 稱為「索引標籤」、Chrome & FireFox稱為「分頁」、Safari還用到兩個名稱「索引標籤」與「標籤頁」。要特別注意,目前這些新版瀏覽器,只要是同類瀏覽器,不管你開啟幾個視窗或幾個「Tab」,預設來說都會擁有相同的 Cookie/Session 身份,因為對於系統來說,預設它們都處於一個相同的 Process上。這跟早期的瀏覽器運作很不一樣,早期一個瀏覽器視窗會有獨立的 Process,因此,Cookie/Session 身份很容易切割。

這會帶來甚麼問題呢?看看下圖。如果已經在一個「Tab」登入了 MSN,這時另外一個「Tab」登入 FB 之後,如果點擊了「尋友工具」,會有甚麼結果呢?


答案是:FB 會自動到把 MSN 的好友清單,匯出到 FB 的邀請朋友清單中,進行邀請朋友的動作,過程中並不需要輸入 MSN 的帳號密碼。問題就來了,你知道你目前正以哪一個身份瀏覽該網站嗎?這也是網友該了解的一個基本觀念,否則,無法確保身份遭到冒用或濫用。

如果要在同一瀏覽器下切割「視窗」或「Tab」使用不同身份,可以 google 搜尋關鍵字:「多重帳號同時登入」,可以找到一些方法,已經有很多網友提供意見,其中最方便使用的是 FireFox 的 CookiePie 套件,可以用「Tab」來切割,這點很重要,因為其它很多類似的 Cookie 管理工具並沒有「Tab」的概念存在;其他比較簡單的是 IE,只需在啟動捷徑上加入參數"-nomerge",這樣Cookie/Session 身份可以限制在「同一個 IE視窗」。


最簡單的方式,就是不改預設狀況下,使用不同瀏覽器來切割,但我相信這方式應該無法滿足絕大多數的網友。現今來說,瀏覽器一開,登入五、六個帳號以上大概是基本動作了,而這兩年社群網站的興起,更增加許多網站的彼此互動性,如「推」、「讚」、「噗」、「分享」…等,如下圖,這些動作都與 Cookie/Session 身份有莫大的關係。當然,大部分的網站是不會惡意利用,但,遇到釣魚網站或惡意網站,可能結果就不會如網友預期的結果。


之前也有針對臉書的攻擊行動,可參考「Facebook 出現點閱綁架(Clickjacking)之攻擊手法分析」一文,其中攻擊過程就有使用到跨視窗 Cookie/Session 的。國外稱此為「Likejacking」攻擊手法。

最近,很多網站流行要按「讚」才看得到文章的網站。臉書上也有人發起「要按讚才能觀看嗎?拒絕強迫按讚」的活動,這類都是一種身份濫用的狀況,利用你的身份來推銷文章,很多時候這些文章一點意義也沒有...XD。預期未來這類狀況會越來越嚴重。

另外,分享對 FireFox 之 CookiePie 套件使用經驗,此套件在部分網站上會導致驗證不過的問題,或導致一些瀏覽瑕疵。所以我倒過來使用的,也就是說看到 CookiePie 運作下時,該瀏覽過程是沒有 Cookie/Session 身份在瀏覽器的「Tab」中,如下圖,先開啟空白的「Tab」,再開啟CookiePie 運作,使該「Tab」沒有 Cookie/Session 身份在其中,在此進行一般上網瀏覽的行為。


完整文章亦投稿於「資安人雜誌,2010. Jan/Feb. No.73,你的上網行為安全嗎?」。
本文也張貼於「資安之我見」。

繼續閱讀全文...

2011年3月9日

上網安全之Active X (Surfing Secure for Active X)

當心遭惡意利用 Active X 元件軟體。

這問題經常發生於早期首頁綁架、彈出式廣告視窗...等,瀏覽器異常狀況的問題起因。

Active X 是 IE 瀏覽器上,很特別的一個功能,也僅能在 IE 瀏覽器上使用,其他瀏覽器如 FireFox、Chrome 等,並未支援 Active X 功能。首先,你一定得要先看看微軟對 Active X 的說明:「在電腦上安裝 ActiveX 控制項是否安全?」
網址為:http://www.microsoft.com/taiwan/protect/yourself/downloads/activex.mspx

Active X 翻譯中文,很多人用「附加元件」的名稱,但要注意,FireFox 也有所謂的「附加元件」,不過英文是「Add-on」,其兩者功能與作用上很類似,但實際上是不一樣的,所以,還是以英文來稱呼,比較不容易搞混。至於 Chrome 也有類似的功能,稱為「Google Chrome Extensions (Google 瀏覽器擴充功能)」。這些所謂的套件或元件並不能跨瀏覽器使用的,目前 FireFox 與 Chrome 的附加元件或擴充功能,有進行一些機制的控管,但是也要注意使用到惡意的附加元件或擴充功能,導致瀏覽器的異常。建議由下列網址抓取附加元件或擴充功能會比較安全:
FireFox:https://addons.mozilla.org/
Chrome:https://chrome.google.com/extensions
至於,Active X 就沒有統一的管控機制,因此也比較容易被利用,這也是對此特別說明的原因。

Active X 出現畫面:

有些比較舊的 IE 版本有可能出現畫面:

尤其是後面這個畫面也有很多瀏覽者有網路誤解,以為可以提高瀏覽的安全性,所以閉著眼睛點擊,這是不對的;話又說回來,這畫面跟 Active X 看起來一點關係也沒有,難怪使用者會誤會。若出現上面兩張圖,它代表「目前瀏覽的網站,要在瀏覽器(IE)上安裝附加元件,你是否同意?」,這個動作有相當程度的危險性。

早期很多惡意程式都會利用 Active X 方式,安裝到使用者的電腦中,導致首頁被綁架或不斷跳出廣告視窗…等,都是因為這個原因。來看一下一個有問題的「安全性警告」:

所以,哪時該點「是」?哪時又該點「否」呢?很重要的一個觀念:「你是否信任目前瀏覽的網站,如果有疑慮避免點擊是或同意的選項」。以目前來說,瀏覽網際網路很多時候取決於你是否信任該網站,很多端點防護軟體或資安設備都類似這樣的觀念在運作,像「網站信譽評等軟體(Web Reputation Services-WRS)」的運作就幾乎一樣,而這將會是你在上網警覺性上,很重要的一個基礎觀念。

假設,你目前正在瀏覽網路銀行或 WebATM 網頁,這些網站的運作也都會使用到 Active X 元件,在確認你瀏覽的網站確實是銀行的網址,並非釣魚網頁後,也都安裝Active X 元件才能正常使用網路銀行或 WebATM 功能。

假設,你正在瀏覽賭博或色情網站,網頁出現需要安裝 Active X 元件,這時,你還進行安裝動作,這時,你的風險相對增加很多,很可能就安裝了惡意的元件,導致瀏覽器的異常發生。

對於各瀏覽器的「附加元件」,網友都要小心安裝使用,這就跟目前很流行的 APP 概念(iPhone的APP、Fackbook 的APP)類似,要是不小心使用遭惡意利用的 APP 哪就麻煩了。

完整文章亦投稿於「資安人雜誌,2010. Jan/Feb. No.73,你的上網行為安全嗎?」。
本文也張貼於「資安之我見」。

繼續閱讀全文...