資訊安全DIY－WWW全球資訊網防護篇

文 / 郭秋田


WWW網站提供了五花八門的資訊、從工作到休閒生活的各種應用，透過瀏覽器逛逛WWW網站也是現代人幾乎每天必要的例行公事之一。然而隨著瀏覽器功能的增強、WWW網站技術發展，網站與使用者的互動能力愈加增強、多媒體能力也愈加豐富，相對的安全上的顧慮也與日俱增，雖然說網頁瀏覽器提供了增強防護的選項功能，但是少有人去注意它。


瀏覽網站到底會造成什麼樣的安全危害？它的原因又是什麼？應該如何預防？這是一般人想要知道的答案，現在就從瀏覽器和網站之間的關係與運作方式來了解。

WWW全球資訊網運作原理
WWW全球資訊網的運作原理是由網站將資料內容以合適的規格撰寫、安排，並以網頁伺服器的型態架設於網路之中，瀏覽器透過URL網址以HTTP協定與網站伺服器相連接後，將資料從網站伺服器端傳送到瀏覽器端，瀏覽器依據資料的內容解譯後呈現。原本這樣的機制從很單純的「由網站提供資料」、「由瀏覽器解譯、排版資料」，到為了讓網站的資料呈現能更加的活化、有彈性，各式技術相繼發展出來，這些技術讓網站或瀏覽器具有一定程度的執行能力，或讓網站也能夠擷取瀏覽器端的資料。因而，雖然提高了互動性與網頁的功能，但也產生了安全上的問題。

潛在的安全問題
我們把安全問題歸類成兩方面：一方面為被我們造訪的WWW網站是否有能力讀取、甚至寫入我們電腦中的資料；另一方面為被我們造訪的WWW網站是否有能力更動我們電腦系統的設定、甚或是在我們的電腦中執行任意的指令或是程式呢？讓我們來認識幾項WWW中特有的技術：

1. Cookie：

容許遠端網站在您的電腦中讀取或是記錄的一種資訊。設計的本意是提供一種管道讓WWW網站能對不同的使用者進行WWW上行為的了解與分析，進一步能提供更貼切的服務。例如：筆者連線到「國家圖書館遠距圖書服務系統」，從網頁右邊的資訊顯示為「第4次光臨」這個網站。


雖然Cookie的設計本意十分良善，也不一定有嚴重的危害，但卻可能淪為不當的使用，因此是否要讓您的電腦開放此項功能是值得考慮的。


2. Script的執行：

Script是一種簡易的語言，多數的瀏覽器均有執行script的能力，例如VB script、Java script。雖然Script指令的功能有一定的限制，但是一樣具有潛在的破壞能力，一個惡意撰寫的script一樣能夠造成瀏覽使用者很大的困擾。Script是一種直譯式的程式，因此由WWW網站傳到瀏覽器端時可以看到它的原始程式碼，我們可以對其檢查過後，確定它是否有危險性。


3. ActiveX、Java與其它可執行程式：

由於程式可能用各種語言寫成，因此指令不受限制，加上以執行檔的形式存在，我們不易去檢驗它實際的執行內容。這類的程式具有很高的風險性，應該要十分地注意。駭客可以利用它來破壞電腦、植入後門等。
法。

安全問題實例
Script的應用例子很多，常見的有當您連線到某個網站之時，卻發現同時間又開啟了數個其它不相關的網站，造成強迫推銷的效果。相信很多人都曾被這類的網站所困擾過。


過去曾有一個病毒「Happy Time」即是一種VB Script類型的電腦病毒，可透過網頁感染使用者，它會感染.htm,.html,.vbs,.asp和.htt等檔案類型。它也會透過Outlook Express以附檔形式再傳染出去。


另一則例子則是「網頁被綁架」，利用IE本身的安全漏洞，更改網頁選項的設定值，讓瀏覽器一開啟後首頁固定為所指定的網站，並且無法進行修改。部分的大陸網站，特別是情色方面的網站為了要提高網站造訪率，便有使用此種手段的例子，不小心受害的使用者往往不知要如何解決，造成了很大的困擾，有的受害者不堪其擾，甚至選擇電腦重灌的消極解決方法。

如何進行安全防護
為了針對前述的各種問題作防護，瀏覽器通常具有可以讓使用者設定的安全選項，以Inetnet Explorer為例，可從主功能表的「工具」>「網際網路選項」>「安全性」標籤中進行設定（如錯誤! 找不到參照來源。）。其中，可依網站的類型分為四個分類：


1. 一般的網站預設的層級為使用「中安全性」防護，此類網站的成員為未被歸類於其它類之網站。

2. 近端的網站則被預設為使用「中低安全性」防護，近端網站為內部網路中的網站。

3. 信任的網站被預設為使用「低安全性」防護，此類網站必須由使用者自行輸入，安全性低代表受到的限制愈少，網站的功能愈得以完整的發揮。

4. 限制的網站，預設為使用「高安全性」的防護，如果我們知道有部分網站可能具有潛在的危害則可將其列入限制的網站，使用最高的防護來避免安全問題。



事實上大部分的網站，如果未曾連上過並不會知道它是否有危險性，如果已經知道受侵害時則為時已晚。因此對於一般網站的中安全度的設定，則顯得略嫌不足，可以考慮提高加強。


接下來就從「自定層級」的功能介紹如何針對各項安全防護因素進行設定。從錯誤! 找不到參照來源。點選「自訂層級」按紐可進入安全性設定畫面中，進行個別選項的設定與調整

1. 在ActiveX方面：分別可針對經正式簽署的或未經簽署的Active程式進行設定。有正式署名的ActiveX程式其安全性通常較無問題，反之，則應限制它的下載與執行。

2. 在Java程式方面：可設定為中度安全、低度安全、高度安全或是自行設定，甚至也可以把Java功能整個關閉，以避免問題。

3. 檔案與字型的下載：字型的下載通常沒有安全上的問題，而檔案的下載則有一定的安全風險，也許下載下來的檔案正是一個有問題的程式。

4. 在指令碼（script）選項中，可設為啟用、提示、停用三種。停用則會使這類的功能受到限制無法發揮，啟用又具有不小的風險，設為提示則系統每次均會出現視窗請使用者決定，造成額外的負擔。



事實上，對於一個網站可以先關閉其這方面的功能，經由檢查後再將網址列為其他的等級區域。


在隱私權方面，從錯誤! 找不到參照來源。點選「隱私」標籤即可對Cookie的設定進行調整在圖四中，可見到Cookie隱私設定，從「完全封鎖Cookie」、「高」、「中高」、「中」、「低」與「接受所有Cookie」分為6級。除「完全封鎖」與「接受所有」外，其餘各級均可按下「進階」再進行調整設定，或從下方「網站」項次進行個別的編輯設定。


設定較高的安全性選項，缺點為帶來網站瀏覽上的不便，但確實可提供較好的防護能力；設定較低的安全選項則較為便利，但無法確保安全上的問題。充分應用組合各類網站的設定，才能使WWW的應用既便利又安全。


(本文作者現職為國立空中大學管理與資訊學系助理教授兼電子計算中心網路組組長)