两大安全问题无孔不入 主要浏览器无一幸免

作者： ZDNet China
CNETNews.com.cn 2004-10-21 02:26 PM

CNET科技资讯网 10月21日国际报道：安全臭虫无孔不入，不论是哪一种网页浏览器皆然。

资安公司Secunia 周三（20日）公布网页浏览器常见的两大安全问题，与浏览器文件夹标签（tabbed browsing ）功能有关。这种功能普遍用于Mozilla 基金会的各种版本的浏览器、 Opera浏览器、支持Linux 的Konqueror 浏览器，以及两款第三方软件公司制作的微软Internet Explorer浏览器外挂程序。

此瑕疵利用同时开启多重标签视窗（tabbed window ）的功能，让显示在某个标签视窗中的恶意网站，得以存取使用者在另一标签视窗里键入的信息。另一瑕疵让恶意网站开启一个对话框，佯装成是由另一浏览器文件夹标签所开启的。

Secunia 首席技术官Thomas Kristensen 说：“我认为，问题出在他们未考虑到在单一应用视窗中开启多重浏览器标签夹的后果。”

Secunia 建议网友使用标签功能（tabbed feature）时，应关闭JavaScript，或干脆避免在浏览器标签视窗内浏览某个未受信赖网站的同时，又另开视窗参观受信赖的网站。

KDE Project 已在19日发布的最新版Konqueror 浏览器中解决此问题。Mozilla 基金会工程部经理Chris Hoffman 说，两周后发布的Firefox 1.0 版会解决此问题。Opera 尚未针对此问题作出回应。

微软的IE浏览器则受两种更严重的瑕疵所扰。自称“Http-equiv. ”的发现者指出，第一种瑕疵扩大利用8 月已被发现的拖放（drag-and-drop）功能的弱点，可能被用来在受害者电脑里植入恶意的超文字标示语言（HTML）源代码。

根据Secunia 的安全警示，第二种较严重的瑕疵可以躲避Windows XP SP2安全升级套件的安全防护机制，让黑客在使用者的电脑上启动HTML 文件。

这两项弱点若合起来使用，可让恶意网站在到访者的电脑上植入并执行源代码。上述弱点并非全新的发现，而是旧问题、新包装。

Http-equiv在电子邮件中写道：“原理很简单，但执行复杂，必须说难度颇高。”

呼应Http-equiv的评论，微软也表示，黑客利用这两种瑕疵作乱并不容易。

“初期回报显示，要发动这种攻击，需要使用者做许多动作，”微软说：“黑客必须先把使用者引诱上特定的网站，再唆使他在网站上采取一连串行动，然后重开机或登出，黑客才能得逞。”微软说，目前尚未听说任何用户因为这些瑕疵而受害。

Secunia 的Kristensen说，标签浏览（tabbed browsing ）弱点相当严重，应该尽速亡羊补牢，但不至于让整部系统都遭黑客挟持。

Http-equiv说，微软Windows XP SP2加强安全措施，例如限制外来程序在“本地区域”（local zone）执行的防护功能，有助于防止黑客滥用这类弱点。（唐慧文）

两大安全问题无孔不入 主要浏览器无一幸免

作者： ZDNet China
CNETNews.com.cn 2004-10-21 02:26 PM

CNET科技资讯网 10月21日国际报道：安全臭虫无孔不入，不论是哪一种网页浏览器皆然。

资安公司Secunia 周三（20日）公布网页浏览器常见的两大安全问题，与浏览器文件夹标签（tabbed browsing ）功能有关。这种功能普遍用于Mozilla 基金会的各种版本的浏览器、 Opera浏览器、支持Linux 的Konqueror 浏览器，以及两款第三方软件公司制作的微软Internet Explorer浏览器外挂程序。

此瑕疵利用同时开启多重标签视窗（tabbed window ）的功能，让显示在某个标签视窗中的恶意网站，得以存取使用者在另一标签视窗里键入的信息。另一瑕疵让恶意网站开启一个对话框，佯装成是由另一浏览器文件夹标签所开启的。

Secunia 首席技术官Thomas Kristensen 说：“我认为，问题出在他们未考虑到在单一应用视窗中开启多重浏览器标签夹的后果。”

Secunia 建议网友使用标签功能（tabbed feature）时，应关闭JavaScript，或干脆避免在浏览器标签视窗内浏览某个未受信赖网站的同时，又另开视窗参观受信赖的网站。

KDE Project 已在19日发布的最新版Konqueror 浏览器中解决此问题。Mozilla 基金会工程部经理Chris Hoffman 说，两周后发布的Firefox 1.0 版会解决此问题。Opera 尚未针对此问题作出回应。

微软的IE浏览器则受两种更严重的瑕疵所扰。自称“Http-equiv. ”的发现者指出，第一种瑕疵扩大利用8 月已被发现的拖放（drag-and-drop）功能的弱点，可能被用来在受害者电脑里植入恶意的超文字标示语言（HTML）源代码。

根据Secunia 的安全警示，第二种较严重的瑕疵可以躲避Windows XP SP2安全升级套件的安全防护机制，让黑客在使用者的电脑上启动HTML 文件。

这两项弱点若合起来使用，可让恶意网站在到访者的电脑上植入并执行源代码。上述弱点并非全新的发现，而是旧问题、新包装。

Http-equiv在电子邮件中写道：“原理很简单，但执行复杂，必须说难度颇高。”

呼应Http-equiv的评论，微软也表示，黑客利用这两种瑕疵作乱并不容易。

“初期回报显示，要发动这种攻击，需要使用者做许多动作，”微软说：“黑客必须先把使用者引诱上特定的网站，再唆使他在网站上采取一连串行动，然后重开机或登出，黑客才能得逞。”微软说，目前尚未听说任何用户因为这些瑕疵而受害。

Secunia 的Kristensen说，标签浏览（tabbed browsing ）弱点相当严重，应该尽速亡羊补牢，但不至于让整部系统都遭黑客挟持。

Http-equiv说，微软Windows XP SP2加强安全措施，例如限制外来程序在“本地区域”（local zone）执行的防护功能，有助于防止黑客滥用这类弱点。（唐慧文）

两大安全问题无孔不入 主要浏览器无一幸免

作者： ZDNet China
CNETNews.com.cn 2004-10-21 02:26 PM

CNET科技资讯网 10月21日国际报道：安全臭虫无孔不入，不论是哪一种网页浏览器皆然。

资安公司Secunia 周三（20日）公布网页浏览器常见的两大安全问题，与浏览器文件夹标签（tabbed browsing ）功能有关。这种功能普遍用于Mozilla 基金会的各种版本的浏览器、 Opera浏览器、支持Linux 的Konqueror 浏览器，以及两款第三方软件公司制作的微软Internet Explorer浏览器外挂程序。

此瑕疵利用同时开启多重标签视窗（tabbed window ）的功能，让显示在某个标签视窗中的恶意网站，得以存取使用者在另一标签视窗里键入的信息。另一瑕疵让恶意网站开启一个对话框，佯装成是由另一浏览器文件夹标签所开启的。

Secunia 首席技术官Thomas Kristensen 说：“我认为，问题出在他们未考虑到在单一应用视窗中开启多重浏览器标签夹的后果。”

Secunia 建议网友使用标签功能（tabbed feature）时，应关闭JavaScript，或干脆避免在浏览器标签视窗内浏览某个未受信赖网站的同时，又另开视窗参观受信赖的网站。

KDE Project 已在19日发布的最新版Konqueror 浏览器中解决此问题。Mozilla 基金会工程部经理Chris Hoffman 说，两周后发布的Firefox 1.0 版会解决此问题。Opera 尚未针对此问题作出回应。

微软的IE浏览器则受两种更严重的瑕疵所扰。自称“Http-equiv. ”的发现者指出，第一种瑕疵扩大利用8 月已被发现的拖放（drag-and-drop）功能的弱点，可能被用来在受害者电脑里植入恶意的超文字标示语言（HTML）源代码。

根据Secunia 的安全警示，第二种较严重的瑕疵可以躲避Windows XP SP2安全升级套件的安全防护机制，让黑客在使用者的电脑上启动HTML 文件。

这两项弱点若合起来使用，可让恶意网站在到访者的电脑上植入并执行源代码。上述弱点并非全新的发现，而是旧问题、新包装。

Http-equiv在电子邮件中写道：“原理很简单，但执行复杂，必须说难度颇高。”

呼应Http-equiv的评论，微软也表示，黑客利用这两种瑕疵作乱并不容易。

“初期回报显示，要发动这种攻击，需要使用者做许多动作，”微软说：“黑客必须先把使用者引诱上特定的网站，再唆使他在网站上采取一连串行动，然后重开机或登出，黑客才能得逞。”微软说，目前尚未听说任何用户因为这些瑕疵而受害。

Secunia 的Kristensen说，标签浏览（tabbed browsing ）弱点相当严重，应该尽速亡羊补牢，但不至于让整部系统都遭黑客挟持。

Http-equiv说，微软Windows XP SP2加强安全措施，例如限制外来程序在“本地区域”（local zone）执行的防护功能，有助于防止黑客滥用这类弱点。（唐慧文）

出處[www.zdnet.com.cn]

不斷受到攻擊是因為你已給別人label了, 即使你做出什麼, 如何改變/改善也是陶然, 在工作上也不會有任何機會, 這樣的工作環境....唉!{{308}}

為了安全起見大家應該把這個設置改一下, 不然可能會帶來不必要的麻煩.

所以這個是針對1.3.x的

默許http.conf的314行左右
Options FollowSymLinks ExecCGI Indexes
改為
Options FollowSymLinks ExecCGI

Apache 2.0已默認關閉這個功能.
Apache 2.0.55
268行 Indexec 即可

架了一個IPB v2.0.1, 有空用來玩玩.

DEMO : http://www.chong.com.hk/forum

輸入網誌文章內容
1. blogging for fun ,for yourself, at least at begining
2. don't force yourself to blog just for periodically update.
3. don't limit your blog to min. or max. length.
4. don't blog just for audience.
5. don't be afraid of opposite comments.
6. Blogging is to share your thought, your opinion, not your " me too".
7. Blogging tools and interfaces are for convenience, not for "Wow! so fascenating!" The same as your site layout.
8. If you don't want someone reading your blog, never put it on.(Even he/she don't know you have a blog)
9. Try to remember why you are blogging.
10. forget the first 9 rules. use the 10th instead: BLOG FOR YOURSELF!

CyberJos is Blogging中譯

1. 為了樂趣和你自己而BLOG（至少在一開始時是這樣）。
2. 不要只是為了週期性的更新而強迫自己BLOG。
3. 不要限制你 blog 的文章最大和最小的長度。
4. 不要只是為了你的觀眾而 BLOG。
5. 不要害怕相反意見的迴響。
6. Blog 是分享你的想法和意見，而不是無意義的「我也是...」。
7. Blog 工具和介面以便利為主，而不是「哇！真迷人啊」。你的網站版面也應該是這樣。
8. 如果你不想讓某些人閱讀你的 blog，那麼就別把它放上來 (即使他/她不知道你有一個blog站台)。
9. 試著去記住你為什麼要BLOG。
10. 忘了前九項，使用第十項規則：為了你自己而 BLOG！

^_^...........................................

轉載自 DZ&MAY@BLOG