10個維護資訊安全的基本觀念

參考國外一流駭客的建議，做以下的歸納：

1. 備份重要資料。最近很多人買1TB的硬碟，但是也聽到不少朋友買到的硬碟掛點，心血白流，所以不要鐵齒，重要值得珍藏的資料，還是找個好一點的片子燒出來吧。

2. 選擇很難猜的密碼。絕對不要跟自己的資料有關，長度最少8碼，大小寫加數字符號都有最棒！還有要隔一陣子換掉。

3. 安裝防毒軟體。雖然不是100%有效，也不可能，但是至少擋下9成以上流行的病毒。

4. 作業系統或主要應用軟體要做更新。微軟、Adobe的產品是攻擊的目標，用這些公司的軟體要常常更新修補程式。

5. 使用瀏覽器看網站要保持清醒的頭腦。不要亂點連結並關閉彈出視窗，也最好避免用IE，建議用Chrome或Firefox上網。

6. 善用加密軟體。特別透過郵件寄送個人重要資料時，一定要加密。也可以利用先前介紹過的Truecrypt對整個硬碟加密，這樣陳冠希的事件就不會在你的電腦上演。

7. 安裝反木馬軟體。彌補防毒軟體的不足，避免變成殭屍電腦，被人操縱。

8. 安裝個人防火牆軟體。嚴防軟體未經允許對外傳遞訊息，也避免駭客從外部連進你的電腦。

9. 關閉不用的系統服務。例如：假設你家只有一台電腦，網路芳鄰就不需要了。遠端桌面連線、VNC等更是沒事就關閉。

10. 不要相信無線網路。在開放的空間，避免使用無線網路。家裡的AP密碼要用WPA，WEP有設跟沒設一樣。

Google Chrome Frame for IE

Google這次撈過界，直攻對手的瀏覽器，推出了Google Chrome Frame, 這邊有詳細的介紹。

但是微軟一定會生氣，反擊Google的這種作法會帶來安全上的問題，請看以下報導：

新聞來源: ITHOME

Google發言人對媒體表示，Chrome Frame帶給IE的還有安全功能，例如它提供IE6所欠缺的沙箱技術以及網釣與惡意程式的保護。文/陳曉莉 (編譯)

Google於上周發表了IE的外掛程式Chrome Frame，把Chrome的先進功能帶到微軟的IE中。隨後微軟表示這將添增IE的安全風險，不過Google則認為Chrome Frame反而強化了IE的安全。

讓其他瀏覽器業者透過外掛程式來改善IE的效能著實讓微軟面子掛不住。根據Computerworld的測試，IE8的SunSpider再加上Chrome框架讓IE的執行速度達到原先的9.6倍，具備與Chrome一致的效能。

但微軟指出，有鑑於一般外掛程式所會產品的安全風險，Google Chrome Frame會讓惡意程式可駐足的面積加倍，同時會破壞IE的隱私模式，一旦使用者安裝了該框架，就無法使用IE的隱私功能，此外亦影響了IE的歷史紀錄刪除功能。

不過，eWeek及Computerworld詢問Google對微軟此一聲明的看法，Google發言人則表示，Chrome Frame帶給IE的還有安全功能，例如它提供IE6所欠缺的沙箱技術以及網釣與惡意程式的保護。

Google表示，Chrome Frame一開始設計就嵌入了安全性，雖然他們鼓勵使用者使用更現代化及符合標準的Firefox、Safari、Opera或Chrome等瀏覽器而非安裝外掛程式，但對於那些不想改用瀏覽器的使用者，Chrome Frame可提供更好的效能、更健全的安全性，以及更多選擇。

Google Chrome Frame主要提供了Chrome的WebKit網頁呈現引擎與V8 JavaScript引擎，並讓IE可以支援HTML5的離線技術、cavnas及CSS等最新網路技術標準，該框架適用於IE6、IE7及IE8。主要目的是讓IE可以執行Google即將展開大規模測試的Google Wave服務。（編譯/陳曉莉）

微軟釋出免費的防毒軟體

今天看到國外的報導, 強大的微軟帝國終於將魔爪伸進了防毒軟體領域，並且提供免費的白老鼠版本給大家試用。

如果作業系統設計得當的話，還需要設計防毒軟體來抵擋惡意程式嗎？這是一個挺有趣的問題。

官方網站很奇怪的連到中國大陸的分站，連下載回來的軟體安裝時的介面也是簡體的。

要下載還得有MS live ID的帳號，安裝時還先檢查你的Windows是否為正版才讓你安裝....

PHP出現兩個重大漏洞，請更新到PHP 5.2.11

今天看到弱點資料庫出現兩個有關於PHP的弱點通知，結果兩個都是重大等級，請有在使用PHP的夥伴多多留意。

http://vdb.dragonsoft.com.tw/detail.php?id=4078

PHP Exif Data 處理弱點
Web-799	高風險

影響平台: Windows, UNIX
攻擊需求: 由遠端進行攻擊
造成危害:
CVSS 弱點評分: 7.5
CVE ID: CVE-2009-3292
	內容描述:
	PHP 5.2.11 之前版本在處理 exif 資料時存在弱點. 弱點可能造成未知的影響.
	修補方式:
	參考 The PHP Group Web site - "PHP: Downloads, 升級到 PHP 5.2.11 或最新的 PHP 版本.

http://vdb.dragonsoft.com.tw/detail.php?id=4078

PHP Exif Data 處理弱點
Web-799	高風險

影響平台: Windows, UNIX
攻擊需求: 由遠端進行攻擊
造成危害:
CVSS 弱點評分: 7.5
CVE ID: CVE-2009-3292
	內容描述:
	PHP 5.2.11 之前版本在處理 exif 資料時存在弱點. 弱點可能造成未知的影響.
	修補方式:
	參考 The PHP Group Web site - "PHP: Downloads, 升級到 PHP 5.2.11 或最新的 PHP 版本.

智財局網站 1.6萬個資外洩

新聞來源: 壹蘋果網路

僅以簡單程式管理 懂網路語言即可破解

民眾踢爆由經濟部智慧財產局建置、供大專院校學生交換二手書的「校園二手書教科書網」，認證功能太過簡單，可輕易被破解，目前已造成一萬六千名學生的個資外洩，智財局便宜行事的做法實在「很誇張」。智財局昨晚已緊急要求網路維護業者補救。【郭美瑜、楊惠琪╱台北報導】

供大專生交換二手書

智財局二○○四年委託中小企業協會建置並維護「校園二手書教科書網」（http://2handbook.nasme.org.tw），提供大專生利用此平台交換二手書，既省錢又可遏止影印教科書的盜版歪風，累計已有一萬六千名會員。

民眾陳先生前天向《蘋果》投訴，指該網站認證功能有明顯瑕疵，只要約略懂得網路語言的人，都可以輕易破解該網站的權限管理帳號，並可任意瀏覽一萬六千名會員的姓名、身分證號碼、電郵郵址及電話等個資，他痛批：「智財局竟然用這麼簡單的程式做個資管理，實在很誇張。」

《蘋果》記者昨按照外洩的個資，打電話給五名會員查證，有兩人的電話沒打通，另三人都確定是本人，其中就讀成功大學研究所的陳正霖表示：「當初會登錄資料是因為這是政府網頁，就很放心地填個資，沒想到還是外洩了。」另名會員鄭景仁說：「會害怕個資遭詐騙集團濫用，希望相關單位處理、預防。」

若有損權益可求國賠

智財局著作權組長張玉英表示，對會員個資外洩很抱歉，不排除將對網路維護業者扣款；負責網路維護的中小企業協會昨天晚上已緊急補救資安漏洞。消基會董事長謝天仁表示，未來若有學生權益受損，可向智財局要求國家賠償。

個資外洩申訴管道

◎消基會

（02）2700-1234

（04）2375-7234

（06）241-1234

（07）225-1234

◎消保會：1950

◎各縣巿消保官

資料來源：《蘋果》資料室