web2.0 衍伸出的網路安全問題byXDite

原文題目：web2.0 衍伸出的網路安全問題
原文分享：http://xdite.net/Web20-security.pdf OR
作者網站： http://blog.xdite.net/?p=257

個人認為網站經營者應特別注意原文第66, 67, 68頁

-------p.66---------
How to prevent? ( WebSite Owner)

千萬不要相信任何使用者輸入的內容，並
過濾或轉換甚至是吃掉所有的特殊符號字
元。
XSS 漏洞極具破壞性，它會給你的網路事業
帶來極大的損害程度。一旦攻擊事件被公
諸於眾且迅速傳播，在用戶隱私保護上將
大大降低你的網站的信譽，甚至完全失去
用戶的信賴造成人口流失。

-------p.67---------
How to prevent? ( WebSite User)

保護自己的最好方法就是僅點擊你想訪問的那個網
站上的鏈接。
例如，如果你訪問了一個網站，該網站有一個鏈接指向
了CNN，那麼不要單擊該鏈接，而是訪問CNN 的主頁
並使用搜索引擎查找相關內容。這樣可以杜絕90%以上
的XSS攻擊。
閱讀你不認識的人的文章時一定要注意。
最好關閉瀏覽器的JavaScript 功能。
如果鏈結到的網站本身已經被XSS 合併其他手法
搞得亂七八糟，那上面這個方法也沒用了。

-------p.68---------

如果打死都不修改XSS 漏洞呢？

你的網站上的用戶會受到被篡改的威脅。許多大
型網站都發現了XSS漏洞，這個問題已經得到普遍
認識。
如果不修改，發現它的人也許會警告你的公司，
損害公司的信譽。
你拒絕修改漏洞的消息也會傳到客戶那裡，造成
公司的信任危機。客戶不信任的話還怎麼做生意？

-------p.72---------

資料參考來源
 TT@SA 2006
 網站技術的當紅炸子雞AJAX 會帶來什麼樣的危險？
 Blog of X-Solve
 Blog of Gslin
 Digg.com
 Google://XSS
 Google://AJAX
 XSS (Cross Site Scripting) Cheat Sheet

------- end ---------

末尾：april小小心得

web2.0很好用，很絢麗，很....顧人怨的超級極端相反，但是該注意的網路安全還是要注意。
良心建議：使用windows作業系統的人，多用firefox上網，平常該固定備份(my document, mail folder, 個人重要常用工具的source, 書籤....)、發現電腦跑特別慢的時候就要認命的重˙灌˙吧。