https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

反制釣魚網站 Chrome瀏覽器新功能仍有待加油

2014 / 05 / 13
編輯部
反制釣魚網站 Chrome瀏覽器新功能仍有待加油
目前許多的網路釣魚手法,最喜歡在電子郵件中利用假造的連結,還有在社群網站中分享的網址,讓使用者一不小心點選了就會掉入陷阱,直接連結惡意網站而導致電腦被入侵,或是造成個人資料的外洩,可參考此文

對此,各家業者無不費盡心思來提出防範釣魚網站的策略,包括微軟IE瀏覽器和Google Chrome等,都加入了阻擋釣魚網站和惡意程式的功能。根據國外媒體的報導,Google最新測試版本的Chrome Canary瀏覽器,還提供使用者可以啟用更好的反釣魚網站功能,但是安全專家卻指出,這項安全功能距離理想可用的情況,似乎還有一大段路要走。

這項叫做「Origin Chip」的安全功能,主要是能夠協助瀏覽器縮短過長的網址,並且只顯示出網站最上層的網址內容(例如將http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=7839,只在瀏覽器網址列中顯示為informationsecurity.com.tw),方便使用者可以更清楚地看見所瀏覽的網址名稱,藉此來識別可疑網站,避免落入惡意網站所設下的陷阱。

不過,安全研究公司NSS Labs表示,這項功能對於網路瀏覽安全是否真正有用,目前似乎還言之過早,因為對一般使用者來說,就算看到了最上層的真實網址,可能也缺少足夠的知識與能力去分辨網站的真偽,再加上即使連結的是正牌網站,一旦它已被植入了惡意程式,使用者在瀏覽時也同樣會有遭到入侵的危險。

此外,另一家提供安全訓練的PhishMe公司更指出,目前這項功能存在著安全弱點,一旦網址的長度超過了98個字元,Chrome Canary瀏覽器就會因為網址過長,而無法將網址正常地顯示出來。所以在這種情況之下,使用者根本無法判斷所瀏覽的到底是一個正牌網站,還是一個冒牌的惡意網站,就算對有經驗的使用者來說,也會存在著安全的風險。

針對此項安全問題,Google的回應提到,Chrome Canary瀏覽器主要是提供給開發者來採用,由於目前還是在測試體驗階段,所以很有可能會無法發揮其正常的功能。