※ 引述《Corola (卡啦拉)》之銘言:
: ※ 引述《TonyQ (自立而後立人)》之銘言:
: : http://www.appledaily.com.tw/realtimenews/article/politics/20140904/463698/
: : 4.備註:
: : 有沒有把網友公民提案內容的網頁語法,講成惡意攻擊的八卦?
: : 在網友提案裡面放放柯文哲的政見跟照片就是惡意攻擊,
: : 那這提案平台不擺明作來挖洞給網友跳跟整柯嗎?
: : 再者,如果真的不歡迎讓人使用網頁語法,
: : 也可以從系統面好好做好內容管理把語法濾掉(html escape)。
: : 說真的我覺得連營工程師真的該多花點心思在網站上,
: : 這種基礎的資訊素養都沒有,還要搞到最後用新聞稿的方式來澄清,
: : 作為網路領域的從業工程師,實在是覺得看得很難過啊。
: : 如果有同行,也歡迎來我們網頁開發工程師社團,
: : 繼續討論更多「基礎到不行的網站開發常識」。
: : http://goo.gl/9qr7pG
: 真的看不下去連勝文的資訊團隊
: 身為開發者,死為開發魂
: 只好跳出來講講真話......
: 這個事件講簡單點,
: 就是有人把「柯P滑出來對你說政見」留言進去造成的效果。
: 如果連勝文團隊有基本的資訊安全
: 根本不可能發生此事
: 這種現象俗稱「跨網站指令」,英文是 Cross-site Scripting,簡稱 XSS。
: 透過新聞瞭解這個人的想法僅是「進一步測試連勝文的氣度底限,
: 才改放柯文哲的圖像等資訊」且連勝文官方強調官網仍正常運作,
: 沒有影響到任何人的資訊安全。可以說他非常的幸運...
: 但是連勝文官網的 XXS 漏洞,卻非常的危險,風險小從替換聯結、
: 置換頁面內容等無傷大雅情況,大到誘導使用者刷卡、誘使使用者
: 重新輸入密碼以盜取帳號等等等都有可能。
: 今天遇到的意外只是測試,但試想,連勝文團隊未來在市政、
: 健保、警消、電子付費等上會不會出此狀況?實在令人擔憂。
: 話說回來,XSS 怎麼防禦?
: 其實,只要網站開發者,將留言內的程式碼做過濾,就能杜絕這種危險。
: 而這幾乎是現在網站開發的基本常識、資訊安全的第一課。
: 正確使用科技工具,可以發揮正向強大的力量。
: 反之用在不對的地方,也會造成破壞。
: 舉例來說,民眾能夠使用行車記錄器保護自己的安全,
: 但政府絕不能用來監控人民的一舉一動。
: 類似的例子還有之前遠通 eTag 當機以為是駭客攻擊,
: 經行政院相關單位調查後,
: 才發現是自己的 App 設計不良的結果......
: 透過這次的事件,身為資訊人員的尊嚴...
: 希望連勝文的團隊能夠盡快補足網站開發的基本知識、加強資安意識,
: 讓選舉回歸正面價值對決
: 不要再遷拖什麼理由了 這真的非常丟臉
聽說這種程度的漏洞
會貼語法的國中生就可做了
甚至國小學生都會
建議連勝文趕快去查一下
負責網站發包的人員
有沒有收廠商回扣 或是 轉包 轉包 再轉包
這種網站品質 大概是找高中生做的吧