歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
SSL救不了你拙劣的應用程式
2008 / 08 / 04
編輯部
加密,無法修補不安全軟體所產生的漏洞。
安全從業人員都熱愛網路資料安全傳輸協定(SSL, Secure Sockets Layer),而且有很好的理由。它的設計良好,提供支援各種加密協議,而且它很容易重新組態,假使萬一遭到任何破解或是憑證過期。它是一個非常有用的工具,可以保護交易安全,當他們透過其它不安全管道時,例如網際網路。此外它所支援的憑證雙向認證(certificate-based bilateral authentication),也非常棒。當然,假如你真的有錢、有人力可維護的話。
若要說有任何問題,那就是SSL的執行太令人滿意,使人們認為它可滿足所有的需求,像一張超大的安全毯,讓每個抓著它的人就有安全感,他們忘記除了利用SSL之外,安全要做的還有很多。
Gene Spafford曾說過一句很棒的話:「在網際網路上使用加密,就好像派一部裝甲車傳輸信用卡資料,從一個居住在硬紙板箱子裡的人,傳到住在公園長椅上的某人」。現在聽起來他仍是對的。
雖然比起10年前,作業系統已經安全很多,我們也更善於修補它們,但是這樣還是不夠。最近,Dan Geer在資訊安全產業,發表了一個大規模的趨勢報告。資料是採自美國國家弱點資料庫(National Vulnerability Database),他用許多數據指出我們直覺知道的事:像是,攻擊者已經成功地將目標轉移至應用程式,利用簡單的工具就能進行跨網站指令碼攻擊(XSS, Cross-Site Scripting)與資料隱碼攻擊(SQL Injection)。
儘管我們知道這些事,而像是Microsoft和Oracle產業領導廠商,也對他們的產品作了安全上的改善,然而,軟體業者似乎就是不得要領。雖然有些網頁應用程式,顯示出它們通過Hacker Safe的資安認證標章,表示通過弱點探測,但是這些網站為數少之又少。
假如你去看一般的網頁應用程式,供應商的隱私政策有提及使用SSL的,或者有一個小巧的標章昭告著它的SSL廠商,那麼你是很幸運的。當你要使用某個網站,而且知道別人想在此探查你的信用卡號碼只是白費力氣,那是很令人開心的。但不幸地,這不能代表此應用程式真正安全,很可能安全做的很糟。
這就是為什麼獨立軟體供應商,必須把安全實施到他們的軟體開發生命週期中,並且將他們保管資料安全的做法更加透明化,讓使用者清楚易懂。假如身為安全從業人員,也是客戶的我們,開始對供應商施加壓力,促使他們開始生產更安全的軟體,這會是最好的結果。如果拿過去的經驗來看,從客戶的角度鞭策,作用會很大。從業人員可以發揮很大的影響力,尤其是從支援成本大幅減少的角度,但是真正會引起市場和銷售部門關注的,還是得從「客戶要求」的角度著眼。
幾年前,有人問Secure Coding一書的作者Mark Graff,他任職的公司什麼時候才會停止製造「這麼爛的軟體」,他回答,「你不想再買的時候!」過去,被惹惱的客戶迫使Microsoft開始著手可信賴運算計畫(Trustworthy Computing initiatives);將來仍然是惱怒的客戶迫使網頁應用程式廠商,開始嚴肅地看待安全問題。一切取決於我們去教育那些客戶,不只要讓他們知道他們所損失的是什麼、可以要求回來的有什麼,而是那個小小的鎖頭圖示(瀏覽器右下角),實在不足以確保他們的資料安全無虞。
加密
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.04.30
免費【資安人才培育計畫說明講座】 資安顧問師 與 資安維運工程師 的職能發展與養成
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
MITRE ATT&CK 發布17.0版,新增 ESXi 攻擊戰術技術與程序
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
國家級駭客瞄準中小企業 供應鏈成新戰場
新型Android惡意程式 使用NFC中繼攻擊竊取信用卡資料
中國駭客組織 Billbug瞄準東南亞:全新工具發動精密網路間諜戰
資安人科技網
文章推薦
Sophos:「數位殘餘」讓企業暴露於網路邊緣設備攻擊風險中
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
資安格局重塑:Mandiant 揭露2025年五大關鍵網路威脅