新聞轉貼 - IE瀏覽器有漏洞 財政部：避免用XP報繳稅

[lutunhsiang]

報稅季節來臨，財政部說，避免使用 Windows XP 作業系統的電腦報繳稅。
財政部說，鑒於微軟IE瀏覽器存在資安漏洞，且不再支援 Windows XP作業系統的更新和維護，財政部說，報繳稅資訊系統不受其影響。
但為確保納稅人報稅資訊安全，財政部建議納稅人以網路報繳稅時，避免使用 Windows XP 作業系統的電腦報繳稅。以財政部報稅網站下載之報稅軟體進行報稅。避免瀏覽惡意網站或點選不明連結。
財政部說，報稅期間將加強與國家資通安全會報、調查局及刑事警察局，密切合作，共同維護報繳稅資訊安全。
來自:http://www.nownews.com/n/2014/05/02/1215819
=========================================
講實在的報稅可以跟別人借系統為win7的電腦上面報稅,報完稅還是可以繼續使用xp電腦上網,例如我現在使用的圖書館公用電腦系統還不是xp,只是系統停止更新與支援不代表就不能繼續使用

[getter]

英美政府是呼籲 ... 不要使用 IE ...

此次 IE 的漏洞存在於所有的本版 ... 也就是 XP 到 Win8 通通有獎

某些媒體的標題 ... 是 財政部：不要用 IE 報繳稅，以免洩漏個資

[a471]

所以囉~~一段文字各自表述

跟有些軟過不去的會說"別用有點軟的產品報稅"...

[古里特]

引用:

作者: getter

英美政府是呼籲 ... 不要使用 IE ...

此次 IE 的漏洞存在於所有的本版 ... 也就是 XP 到 Win8 通通有獎

某些媒體的標題 ... 是 財政部：不要用 IE 報繳稅，以免洩漏個資

大家都已經用XP報稅這麼多年了
現在才來說有漏洞，豈不是被竊盜個資很多年了

[getter]

引用:

作者: 古里特

大家都已經用XP報稅這麼多年了
現在才來說有漏洞，豈不是被竊盜個資很多年了

有可此能 ... 不然某些詐騙集團、網路犯罪 ... 如何取得個資 ... 當然利用 IE 漏洞也可能是其中之一的方式 ...

像網路商店、網路購物 ... 迪西也很少使用 ... 即使使用也是匿名購物 ...

誰叫電子商務的安全性可靠度令人擔憂外 ... 其他如電子交易機制、政府的網路服務也是漏洞百出 ...

迪西從來不網路報稅的 ... 一般郵寄如果是重要郵件 ... 迪西一律是限時掛號 ...


以前某年 Opera、Google、Mozilla Firefox 等著名瀏覽器集體發生最嚴重的安全性漏洞 ...

經追查發現 ... 罪魁禍首 ... 竟然是 有點軟的 .Net FrameWork 還真是 ... ....

[r2a6y]

可以的話，還是直接跑一趟最保險

[grc45]

這就有意思了，個人身在海外那麼多年，就在送掉所有 XP 的電腦到回收中心後，在本版的熱烈討論 XP 之後，

重新的以家裡收藏的原版 XP Pro 英文版，再重灌一次，並也以所謂停止更新服務的危險狀況來做網上的報稅。

報完稅不久，就聽說在加拿大的報稅網路上，出了一隻 Heart Bleeding （心在流血）的病毒，這是稅務單位主動發現的，

所以就及時的做安全漏洞修補動作，並把報稅的最終期限，也就是四月底，特別的予以延長到五月五日，多了五天來通融。

這隻 心在流血 的病毒，不分視窗，它收集了個人所有的資料，在北美最重要的就是你個人的 Social Insurance Number (社會保險號碼），

它等同於國內的身分證字號，再加上出生年月日，婚姻狀況，電話和地址等等，這就會是個大災難的開始。

幸虧本人報稅得稍早於此病毒的發佈前，並未中毒，但是事件剛過後，我在病毒軟體也尚未寫出病毒碼來更新前，我也再度的打開所有的報稅原資料，並模擬再上網報稅一次。

不過，個人用盡了各種病毒軟體，再掃毒也並未發現有人任何的 心在流血 之病毒的存在與肆虐，這可能與本人使用的當下病毒軟體有關。

再在最近的日子裡，試驗了有生以來的第一次的中文 XP 來作風險性測試，也就是到網路銀行作操作，突然使用中文版的 XP ，自己覺得好像很陌生，反應不如原使用英文版的迅捷，

但是也都相安無事，當然啦，我是有受防毒軟體 Bitdefender 保護的，上網時，它有特別的專用跳出視窗來進行更嚴密的防止個資洩露，縱使我並未使用其特定的銀行上網保護功能，

但也完全無事。

所以個人就有點懷疑 XP 的所謂的安全漏洞到底是何方神聖？不知大家有什麼看法？

.

[getter]

迪西以個人知道的部份來回答一下 ... g 大的一些懷疑？

首先是啥麼是漏洞？ 其實漏洞只是一種程式缺陷的一種通俗稱呼，專業一點的說法就是 BUG ...
BUG ... 也就是程式開發或編譯時，可能因為邏輯或是概念上錯誤產生的某些症狀 ...

如程式執行到某個步驟後發生錯誤而強制終止、當機等等 ... 而某些也因為這類的錯誤而意外開啟
某些程式中的特殊功能 ... 如取得該程式的最高設定的使用權限之類 ...

像很久以前某版本資料庫的線上入資料收尋輸入狀態，當以某個指令收尋時，會發是程式錯誤 ...
自動讓一般使用者或訪客，轉換成為 Admin 或 root 身份的使用者。 這樣的錯誤在程式設計師、
資安人員眼裡是非常嚴重的重大錯誤 ...

那所謂個漏洞攻擊 ... 也就是利用程式的錯誤 ... 看看會有何種回應 ... 如果可以取得到控制權限
或某些狀態資料 ... 這類的錯誤就是俗稱的「漏洞」了 ... 如同上述的某線上資料庫的案例就是

-------------------------------------------------------------------------------

那微軟、遊戲開發商、第三方程式開發人員也好 ...只要是開發程式 ... 都會有測試找 bug 的階段
但也必一下子統統就能找齊全 ... 未被發現的 bug 也未必會有即刻的危害 ... 也要看是該程式因為
bug 所產生的反應 ... 因反應的不同就會有不同程度的危害 ... 如果只是程式終止或當機也就算了

若是 bug 所產生的會改變某些控制權限或是直接取得某些資料 ，就是最不樂見的狀況 ...

接著就是攻擊者所要的「結果」... 如果說以只是要當機或是癱瘓某機能的話，這種其實也算是一種漏洞


因此 ... 攻擊入侵的方式就區分為：主動攻擊、被動攻擊、釣魚攻擊等方式

1.主動攻擊，門檻跟技術面都會比較高，首先一定主動先連上某些部電腦，也就是網路上電腦、伺服器
的掃描，取得該電腦、伺服器的名稱、作業系統種類、提供的服務、使用的連線機制等等。在利用已知
漏洞的方式作攻擊入侵。也就是攻擊者自動找上門的。

2.被動攻擊，基本上與主動攻擊類似，但採取被動連線的方法，等待對方連上攻擊者的電腦、伺服器時
在採取攻擊入侵。一般狀況被動攻擊，比較容易發生在入口網站或是某些大型網站上面。先對這些大型
網站作進行主動攻擊後，接著等待目標用戶連上這些淪陷的網站後在做下一步的攻擊。
有些則採取偽裝成某些網站，等待目標上門。

3.釣魚攻擊，以某種「名目」作為誘餌，吸引目標上門的方式。如新聞標題、破解檔案、序號機、
遊戲外掛、免費資源(遊戲、影片、音樂)的等等之類的名目，吸引目標上門。


以基本方式就這三種 ... 當然實現這三種方式，除了利用既有的系統漏洞外，有些只好自己創造漏洞
也就是利用電腦病毒的方式 ...

再來大家新聞也看過不少就是以各種新聞標題、電子郵件、惡意網路連結的不用在提了 ...


如此 XP 的漏洞可以解釋成 ... 有沒有被主動、被動攻擊或遭到病毒入侵之類 ...

要是都沒有 ... XP 理論上 ... 應該是所有系統理論上都應該是會安全的 ...

Windows 最不安全的條件是 ... 使用者本身沒有權限區分與帳戶密碼保護 ...

也就是管理者帳號與使用者帳號要分開 ... 使用、管理要區分 ...

這點是許多 Windows 用戶使用上為了方便所產生的最大問題 ...

不像如 Unix 或 Linux 等系統強制一定要有所區分 (root 與 user) ...



本次 IE 的安全性漏洞 ... 迪西看過該新聞認為跟是不是 XP 沒有關係 ... 這是 IE 瀏覽器本身造成

作業系統的缺陷，也就是 IE 不分版本、不分 Windows 系統的重大缺陷 ...

若沒有修補 ... 一但被攻擊入侵也許很慘 ... 這也是讓英美政府呼籲不要用的 IE 原因 (某些標題為該漏洞未修補前 不要使用 IE) ...

為何 ... 您能確定連上線的對方網站沒有問題嗎？ 沒問題就沒事 ... 有問題就 ...

難怪微軟會大動作緊急作修補 ... 連 XP 用的 IE 也作修正 ... 影響太嚴重了 ...