你的上網行為安全嗎？

上網安全這是個很大的議題，尤其在電子郵件的用戶端程式Web化後，網友只要以瀏覽器就能完成所有事情，不過還是有部分網友習慣使用特定的收信軟體，如Outlook等，主要原因還是用於同步周邊裝置，如早期的PDA、智慧型手機等。但，大部分的網友，多半只要有瀏覽器就可以完成上網作業以及所需工作。

當使用者對瀏覽器的依賴持續加深，成為不可或缺的工具，相對的，對瀏覽器的操作使用就必須更加深入了解才行，善用工具、正確使用、建立防護觀念，將會是網友持續努力的一個課題。以下將針對SSL(Secure Sockets Layer)、Active X、Cookie/Session身份管控、短網址部分做說明。

SSL加密  不等於安全

SSL是一種加密技術，主要功能為網路的傳輸加密，意指瀏覽器與網站會使用加密技術傳遞資料，避免他人在中間竊取網路封包，窺探網友所瀏覽網頁內容的相關資訊；一般實作多為https方式，也就是說瀏覽網站的網址開頭會是https://xxx.xxx/，但要注意的是並非https開頭，就表示有加密，必須要多識別一個安全鎖圖示。

安全鎖圖案在各瀏覽器呈現的位置會不太一樣，且一定要出現在該出現的位置才正確。不過，問題又來了，誰知道這個圖案應該出現在哪裡？很抱歉這是網路生存的基本技巧，只要網路使用者，你就必須了解，就跟吃飯一樣。

很多網站會把https與網站安全劃上等號，這是網路誤解。這不能怪網友，很多網站是刻意把等號劃上，詳細原因就不多說，但是，網路使用者一定要知道， https只保障瀏覽器與網站之間的網路傳輸安全；另外還有端點的問題，也就是說，網站主機或瀏覽器主機還是可能遭駭客植入惡意程式，進而遭受攻擊。

回到先前話題，如何知道HTTPS的加密功能正在運作呢？不同瀏覽器「安全鎖」的圖案該出現在哪裡呢？你可以試著以瀏覽器連結下列網址：https://encrypted.google.com/，找到安全鎖的圖案。

在了解安全鎖圖案的位置之後，接下來就是要確定這些安全鎖經得起考驗，這也是驗證圖示正確性的方式，只要點擊這些安全鎖圖案，去查詢所謂憑證的內容就可以。

憑證內容包含許多資訊，其中詳細資訊一欄，包含加密使用的相關技術，這關係著駭客是否有機會破密的可能性，至於發給的網域（有些的瀏覽器會用網站），則須與瀏覽器瀏覽的網域（或稱網址名稱）要契合，且這個網站的網址是沒有問題的（確實是你要瀏覽的網站）。在瀏覽過程中，看到安全鎖圖案正常的運作，就表示網路通訊處於加密保護的狀態。

了解以上資訊後，接下來就是了解其應用，你必須了解何謂全程加密與登入加密，簡單的說，全程加密是自帳號登入開始，到帳號登出的過程都是在加密的狀態；而登入加密只有在帳號登入的動作進行加密。所以登入加密只保護了使用者帳號密碼，全程加密保護了更多資料內容。

你認為，使用網路銀行時，應該是全程加密還是登入加密？另外，在使用網頁存取電子郵件時，是全程加密還是登入加密？Gmail在2010年初就已經使用全程加密，Hotmail於2010年11月出也推出全程加密功能，不過，還需要使用者手動開啟才可以；Yahoo信箱目前只有登入加密的功能。對於瀏覽者經常使用的電子郵件信箱，提供哪些保護，也是網友應該去加以了解的。

小心！Active X暗藏惡意程式

Active X是IE瀏覽器上很特別的一個功能，也僅能在IE瀏覽器上使用，其他瀏覽器如FireFox、Chrome等，並未支援Active X功能。

首先，你一定得要看看微軟對Active X的說明：「在電腦上安裝 ActiveX 控制項是否安全？」說明網址為：http://www.microsoft.com/taiwan/protect/yourself/downloads/activex.mspx。

Active X 翻譯成中文，很多人用附加元件的名稱，但要注意，FireFox也有所謂的附加元件，不過英文是Add-on，其兩者在功能與作用上很類似，但實際上是不一樣的，所以，還是以英文來稱呼，比較不容易搞混。至於Chrome也有類似的功能，稱為Google Chrome Extensions（Google瀏覽器擴充功能)。

這些所謂的套件或元件並不能跨瀏覽器使用，目前FireFox與Chrome的附加元件或擴充功能，有進行一些控管機制，但是也要注意，若使用到惡意的附加元件或擴充功能，很可能導致瀏覽器異常。建議由下列網址抓取附加元件或擴充功能會比較安全，FireFox為https://addons.mozilla.org/，Chrome為https://chrome.google.com/extensions，至於Active X就沒有統一的管控機制，因此也比較容易被利用，這也是對此特別說明的原因。

IE版本不同，Active X出現畫面也不同，舊IE版本可能出現的畫面，容易令很多瀏覽者有誤解，以為可以提高瀏覽的安全性，所以閉著眼睛點擊，這是不對的；話又說回來，這畫面跟Active X看起來一點關係也沒有，難怪使用者會誤會。若出現Active X畫面，它代表「目前瀏覽的網站，要在瀏覽器(IE)上安裝附加元件，你是否同意？」小心，這個動作有相當程度的危險性。

早期很多惡意程式都會利用Active X方式，安裝到使用者的電腦中，導致首頁被綁架或不斷跳出廣告視窗等，都是因為這個原因。究竟，何時該點「是」？何時又該點「否」？一個很重要的觀念是，你是否信任目前瀏覽的網站，如果有疑慮就應該避免點擊是或同意的選項。

以目前來說，瀏覽網際網路很多時候取決於你是否信任該網站，很多端點防護軟體或資安設備都類似這樣的觀念在運作，像網站信譽評等軟體(WRS, Web Reputation Services)的運作就幾乎一模一樣，而這將會是你在建立上網警覺性上，很重要的一個基礎觀念。

假設，你目前正在瀏覽網路銀行或WebATM網頁，這些網站的運作也都會使用到Active X元件，在確認你瀏覽的網站確實是銀行的網址，並非釣魚網頁，及安裝Active X元件後，就能正常使用網路銀行或WebATM功能。

但若你正在瀏覽賭博或色情網站，網頁出現需要安裝Active X元件的訊息，這時若還要進行安裝動作，你的風險相對會增加很多，很可能因此安裝到惡意的元件，導致瀏覽器的異常發生。

對於各瀏覽器的附加元件，網友都要小心安裝使用，這就跟目前很流行的APP概念類似，像是iPhone的APP、Fackbook的APP，倘若不小心使用遭惡意利用的APP就麻煩了。

忽略Cookie/Session  身份冒用/濫用風險高

這個議題很嚴重，但卻沒人注意問題的嚴重性。目前主流的瀏覽器都有所謂Tab功能，IE稱為索引標籤、Chrome & FireFox稱為分頁、Safari還用到兩個名稱索引標籤與標籤頁。

要特別注意，目前這些新版瀏覽器，只要是同類瀏覽器，不管你開啟幾個視窗或幾個Tab，預設來說都會擁有相同的Cookie/Session身份，因為對於系統來說，預設它們都處於一個相同的Process上。這跟早期的瀏覽器運作很不一樣，早期一個瀏覽器視窗會有獨立的Process，因此，Cookie/Session身份很容易切割，而這會帶來甚麼問題？

如果我們先在一個Tab登入MSN，又另外開啟一個Tab登入 FB，之後再點擊FB的尋友工具，會有甚麼結果呢？答案是，FB會自動到把MSN的好友清單，匯出到FB的邀請朋友清單中，進行邀請朋友的動作，過程中並不需要輸入MSN的帳號密碼。問題就來了，你知道你目前正以哪一個身份瀏覽該網站嗎？這也是網友該了解的一個基本觀念，否則，無法確保身份遭到冒用或濫用。

如果要在同一瀏覽器下切割視窗或Tab使用不同身份，只要在Google搜尋關鍵字：多重帳號同時登入，就可以找到一些方法，已經有很多網友提供意見，其中最方便使用的是FireFox的CookiePie套件，可以用Tab來切割；在此分享自身對FireFox之CookiePie套件使用經驗。

此套件在部分網站上會導致驗證不過的問題，或導致一些瀏覽瑕疵。所以筆者是倒過來使用的，也就是說看到 CookiePie運作時，該瀏覽過程是沒有Cookie/Session身份在瀏覽器的Tab中，如下圖7，先開啟空白的Tab，再開啟CookiePie運作，使該Tab沒有Cookie/Session身份在其中。

另外一個比較簡單的方法是，在IE的啟動捷徑上加入參數"-nomerge "，這樣Cookie/Session身份可以限制在同一個IE視窗，還有一個更簡單的方式，就是在不改預設狀況下，使用不同瀏覽器來切割，但筆者相信這方式應該無法滿足絕大多數的網友。現今來說，瀏覽器一開，登入五、六個帳號以上大概是基本動作了，而這兩年社群網站的興起，提供推、讚、噗、分享…等互動機制，更增加許多網站的彼此互動性，這些動作都與Cookie/Session身份有莫大的關係。當然，大部分的網站是不會惡意利用，但，遇到釣魚網站或惡意網站，可能結果就不會如網友預期的結果。

邪惡的短網址

如果不知道短網址是什麼意思的讀者，可以先到Google網站搜尋關鍵字：短網址」，或者查詢維基百科(Wiki)也可以，目前，常見短網址服務的網域有：http://tinyurl.com/、http://0rz.tw/、http://0rz.com/、http://ppt.cc/、http://goo.gl/、http://bit.ly/。

短網址在網路上使用越來越廣泛，就連Google也加入短網址服務，這類短網址還有很多並沒有在清單中。絕大部分的短網址有個特色，域名很短且域名之後由一串固定長度的英數字組成，對於短網址必須具有基本識別能力。對於網站中出現的短網址也必須加以注意，因為，它很容易被利用，做為隱藏惡意連結或惡意網域之用。

筆者矛盾的是OWASP Top 10 for 2010中，A10: Unvalidated Redirects and Forwards（未驗證的轉址與轉送），與短網址不是有異曲同工之妙。連短網址都大刺刺地提供服務了，相較之下，Unvalidated Redirects and Forwards的問題實在沒啥大不了的。話說回來，把這兩個搭在一起再做點變形，其實還蠻好玩的，可以更隱密的隱藏惡意連結。

對於網站上短網址的出現，需加以留意。若出現在即時通訊，如：MSN、Yahoo Messenger、Google Talk、Skype等，那就該更加小心。因為，你不知它會連結到哪個網頁上。

結論

對於企業用戶而言，日常運作裡一定少不了瀏覽器，然而，無論是存取內部網站或外部網頁，端點安全一直都是企業難以健全防護的地方。很多時候不需要高深的技術，只需要一個完美策劃的劇本，就能對企業造成威脅，如何避免惡意網頁的滲透，著實考驗企業用戶的智慧，也因此，如何修正使用者上網觀念成為企業資安重要課題，希望此篇文章，可以為IT人員在推廣使用者教育訓練上，提供一些參考方向與觀念內容，強化使用者上網的觀念。

附表、其他常見網路攻擊手法：