新聞轉貼 - IE瀏覽器有漏洞 財政部：避免用XP報繳稅

[getter]

迪西以個人知道的部份來回答一下 ... g 大的一些懷疑？

首先是啥麼是漏洞？ 其實漏洞只是一種程式缺陷的一種通俗稱呼，專業一點的說法就是 BUG ...
BUG ... 也就是程式開發或編譯時，可能因為邏輯或是概念上錯誤產生的某些症狀 ...

如程式執行到某個步驟後發生錯誤而強制終止、當機等等 ... 而某些也因為這類的錯誤而意外開啟
某些程式中的特殊功能 ... 如取得該程式的最高設定的使用權限之類 ...

像很久以前某版本資料庫的線上入資料收尋輸入狀態，當以某個指令收尋時，會發是程式錯誤 ...
自動讓一般使用者或訪客，轉換成為 Admin 或 root 身份的使用者。 這樣的錯誤在程式設計師、
資安人員眼裡是非常嚴重的重大錯誤 ...

那所謂個漏洞攻擊 ... 也就是利用程式的錯誤 ... 看看會有何種回應 ... 如果可以取得到控制權限
或某些狀態資料 ... 這類的錯誤就是俗稱的「漏洞」了 ... 如同上述的某線上資料庫的案例就是

-------------------------------------------------------------------------------

那微軟、遊戲開發商、第三方程式開發人員也好 ...只要是開發程式 ... 都會有測試找 bug 的階段
但也必一下子統統就能找齊全 ... 未被發現的 bug 也未必會有即刻的危害 ... 也要看是該程式因為
bug 所產生的反應 ... 因反應的不同就會有不同程度的危害 ... 如果只是程式終止或當機也就算了

若是 bug 所產生的會改變某些控制權限或是直接取得某些資料 ，就是最不樂見的狀況 ...

接著就是攻擊者所要的「結果」... 如果說以只是要當機或是癱瘓某機能的話，這種其實也算是一種漏洞


因此 ... 攻擊入侵的方式就區分為：主動攻擊、被動攻擊、釣魚攻擊等方式

1.主動攻擊，門檻跟技術面都會比較高，首先一定主動先連上某些部電腦，也就是網路上電腦、伺服器
的掃描，取得該電腦、伺服器的名稱、作業系統種類、提供的服務、使用的連線機制等等。在利用已知
漏洞的方式作攻擊入侵。也就是攻擊者自動找上門的。

2.被動攻擊，基本上與主動攻擊類似，但採取被動連線的方法，等待對方連上攻擊者的電腦、伺服器時
在採取攻擊入侵。一般狀況被動攻擊，比較容易發生在入口網站或是某些大型網站上面。先對這些大型
網站作進行主動攻擊後，接著等待目標用戶連上這些淪陷的網站後在做下一步的攻擊。
有些則採取偽裝成某些網站，等待目標上門。

3.釣魚攻擊，以某種「名目」作為誘餌，吸引目標上門的方式。如新聞標題、破解檔案、序號機、
遊戲外掛、免費資源(遊戲、影片、音樂)的等等之類的名目，吸引目標上門。


以基本方式就這三種 ... 當然實現這三種方式，除了利用既有的系統漏洞外，有些只好自己創造漏洞
也就是利用電腦病毒的方式 ...

再來大家新聞也看過不少就是以各種新聞標題、電子郵件、惡意網路連結的不用在提了 ...


如此 XP 的漏洞可以解釋成 ... 有沒有被主動、被動攻擊或遭到病毒入侵之類 ...

要是都沒有 ... XP 理論上 ... 應該是所有系統理論上都應該是會安全的 ...

Windows 最不安全的條件是 ... 使用者本身沒有權限區分與帳戶密碼保護 ...

也就是管理者帳號與使用者帳號要分開 ... 使用、管理要區分 ...

這點是許多 Windows 用戶使用上為了方便所產生的最大問題 ...

不像如 Unix 或 Linux 等系統強制一定要有所區分 (root 與 user) ...



本次 IE 的安全性漏洞 ... 迪西看過該新聞認為跟是不是 XP 沒有關係 ... 這是 IE 瀏覽器本身造成

作業系統的缺陷，也就是 IE 不分版本、不分 Windows 系統的重大缺陷 ...

若沒有修補 ... 一但被攻擊入侵也許很慘 ... 這也是讓英美政府呼籲不要用的 IE 原因 (某些標題為該漏洞未修補前 不要使用 IE) ...

為何 ... 您能確定連上線的對方網站沒有問題嗎？ 沒問題就沒事 ... 有問題就 ...

難怪微軟會大動作緊急作修補 ... 連 XP 用的 IE 也作修正 ... 影響太嚴重了 ...