交流評論、關注點贊

  • Facebook Icon臉書專頁
  • telegram Icon翻牆交流電報群
  • telegram Icon電報頻道
  • RSS訂閱禁聞RSS/FEED訂閱

片影片 防中國黑客入侵

2019年10月18日 19:24 PDF版 分享轉發

2016年10月26日,中國大陸一些公司正透過互聯網出售化學合成類毒品卡芬太尼。2019年,谷歌將在新推出的Chrome 79版版封鎖未加密的圖片影片,屆時,這類未經加密的網頁圖片和影片將不能被自動顯示。(美聯社)2016年10月26日,大陸一些公司正透過互聯網出售化學合成類毒品卡芬太尼。2019年,谷歌將在新推出的Chrome 79版版封鎖未加密的圖片影片,屆時,這類未經加密的網頁圖片和影片將不能被自動顯示。(美聯社)

問:Chrome 79版,開始封鎖未有加密的圖片、影片等內容,為甚麼要這樣做?其實沒有加密的網頁內容,都不一定危害到使用者的安全?

Ad:美好不容錯過,和家人朋友一起享受愉快時光,現在就訂票

李建軍:針對類似中國的情況,谷歌決定由Chrome 79版開始,逐漸對加密網站傳來的未經加密內容作出封鎖,是有其道理的。一方面,此舉可以避免有心人中途竄改內容,用來做一些假新聞,例如中途更換了圖片,令你看的圖片,與原來的報道相反。另一方面,防止有心人利用非加密渠道插入代碼,將你的電腦挪用作DDoS用途。在今年香港「反送中」運動中,其中一次DDoS事件,便是用這種手法,騎劫了大批與政治無關的電腦作DDoS用。在這種情況下,受害人自己做了幫凶都懵然不知。

問:請問在加密網頁中,加入未經加密的內容,可以怎樣做到DDoS?

李建軍:以今年連登受攻擊一事為例,有連登網友發現,其中一個網民經常去收看盜版韓劇網站,而有人暗中在這個非加密網頁中加入古怪的Javascript代碼,令到只要你一直觀看劇集,就會一路向連登發出攻擊,在相關代碼被發現后,相關的代碼亦很快被刪除。

這類型的Javascript病毒代碼,有可能是網頁被后暗中加入,而要暗中加入這類代碼做到神不知鬼不覺,只有相關代碼是非經過加密才可辦到。因此,Chrome 79版的新方法可以杜絕這類型的DDoS襲擊,至少能使中毒電腦數字減少,從而令受感染而參与進DDoS襲擊的電腦數目大減,始終DDoS要有相當數目電腦同時加入,方能擊潰目標主機。

問:有些網站似乎未有按谷歌今年四月的要求,將提供圖片的主機加入加密功能,但我又要看到相關內容,那怎麼辦?

李建軍:Chrome 79和80版本,仍然容許使用者按自己意願,暫時解除針對非加密內容的封鎖。只不過,如果你自己解封了相關限制,如果出了狀況,那就後果自負。因為這類不明不白的代碼,除了用作策動DDoS襲擊,亦會用於偷走使用者的資料,或暗中加入一些有惡意的跟蹤cookie,如果你要解除相關限制,你必須確定有關網站是可靠,保安是可信。但長遠而言,相信谷歌會關閉暫時解封的功能,暫時解封只不過是過渡措施,因為並非每一個網站都可以及時因應谷歌的要求,對主機軟體和設定作出升級。雖然現時網站已經可以免費取得數碼證書,作主機加密之用。

問:在可見將來,所有網站都要以加密方式傳送,是瀏覽器的基本保安要求?

李建軍:相信Chrome和Firefox,應該在一至兩年內,完成強制使用加密方式傳送的改革,因為過往申請和安裝數碼證書,都是一件十分之昂貴的事。但數年前推出let』s encrypt這類由電子前線基金會負責的項目后,網站主人可以十分容易申請到數碼證書加以安裝,而且幾乎即時完成,令網站根本沒有藉口拒絕安裝數碼證書作加密之用,相信由防止黑客騎劫,到保障私隱等各方面來看,未來瀏覽互聯網,可能資訊傳遞過程經過多重加密,例如VPN加上全加密的https傳送,除了確保使用者的私隱,亦避免了當局利用中間人攻擊,或者偷取你的資料,或令你的資料全被刪去等等問題。Edge因為以Chrome為基礎,所以幾乎是同步改變,現時要看蘋果的Safari會否作出改變,但過往經歷來看都反映蘋果會作出改變,在保安問題上與其他業界領袖看齊。

來源:RFA, 文章內容並不代表本網立場和觀點。

喜歡、支持,請轉發分享↓Follow Us 責任編輯:藍柱