随着诸多SNS网站的强大,Web 2.0对一般人也已不再是一个陌生的词汇了。而长期以来一直与Web 2.0形影相随的风险安全问题,尽管早在四年前SPI Dynamics Web安全专家首席工程师Billy Hoffman就曾呼吁:“大家都全心拥抱Web 2.0这个热朝,把它和Web应用兜在一起,但他们根本没有考虑到安全的问题,不知道这样会置使用者于何种风险之下”,但今天看来Web 2.0的安全问题并没有得到多大的改善。
危险的Web 2.0
Web 2.0其实没有精准的定义,但我们不得不说,Web 2.0是一项危险性的技术。这不仅因为Web 2.0让更多的人参与到内容制作和应用推广上,还在于它的支撑技术就带有相当的危险性。
AJAX是实现更炫更互动网页的主要技术,Google推出的Google Maps是第一批向世人展示AJAX开发效果的网站之一,它让使用者可以用鼠标把地图移到屏幕上任何一处。但人们也许没有明白,AJAX的“功能”不只是把网页变得更互动而已,它同时也提供了黑客整垮Web服务器,攻击使用者的渠道。
业界著名的安全专家Hoffman当年曾做过一个贴切的比喻:“我们可以用房子来比喻,传统网站好比一幢没有窗子、只有一扇门的房子,而AJAX网站则是一个有数不清窗子和旋转门的房子,尽管你在前后大门上加了最安全的锁,但我还是可以从窗口钻进去。”
更要命的是,Web 2.0的演化使得所有的网络计算核心被从客户端拿到网络端,客户机最终只是扮演纯粹的浏览界面的角色,而所有的核心数据、核心的处理全部都在网络端。另一方面,网络内容来源控制分散化,网络应用逐步蚕食掉现有桌面应用,而用网络的方式来实现。
也许我们可以用一个有些过份的比喻来说明这一切:你被迫把所有的鸡蛋放在了一处篮子里,而试图打翻你篮子的坏蛋的攻击手法却在成倍增长。
在这种情况下,敏感隐私数据泄露途径正在增多,以前可能只存在你的电脑上,而现在却存在服务器上,可以在你的通讯途中被窃取。而这些应用的方式,这些数据对你是如此的重要。数据依赖已经导致了安全风险被放大,一个安全风险现在可能就可以影响海量用户。
总之一句话:由于Web 2.0的普及,我们已经被带到了风险的边缘。
临近的危险与可怕的麻木
然而,尽管人们已经意识到了Web 2.0的凶险,还是会有相当一部分人认为风险离他们很远,另一部分人虽然体会到了风险的存在,但只是在心底隐隐感受到压力却根本无力解决。
Websense在2009年5月曾发布一项专门针对包括中国在内的10个国家的1300名IT经理所做的全球调查报告,报告内容主要涉及被访对象对Web2.0当前态势的感知。
报告显示,95%的企业目前允许员工访问Web2.0网站和应用,最常见的是Web邮件、交互式Web应用和维基百科等。62%的IT管理者认为Web2.0应用对其业务的开展很有必要。
但另一方面,Websense的报告还显示:许多企业已开放了Web2.0的网站和应用,但却忽视一个危险的安全漏洞的存在。尽管大多数受访者承认他们没有部署必要的安全解决方案以防范各种威胁攻击,但仍对其企业的Web安全状况信心十足。不仅如此,大量的受访者不清楚Web2.0的构成以及 Web2.0如何对企业的安全构成威胁。
更糟的是,报告用一系列的数据得出一个结论:尽管真实的数字显示人们根本无力防护Web2.0安全威胁,仍有80%的受访者对其企业当前所处的安全状况表示自信。
现在距离Websense发布报告又已过去了一年的时间,现在的情况如何呢?Check Point软件技术公司最近与Ponemon学院携手进行了一项名为“工作场所中的Web 2.0 安全“的调查,访问了美国、英国、澳大利亚、法国及日本的2,100 名IT专家和从业人员,探讨他们对公司使用Web 2.0应用的风险及应对方法的看法。
调查的结果同样让人吃惊:在美国、英国籍澳大利亚的受访者中,分别有52%、49%及48%相信其公司的最终用户在进行商业通信时很少注意,甚至永远不会考虑有关的安全问题。而在法国及日本的受访者中,分别有22% 及24%有这样的看法。
而对于在工作单位中谁应负责确保互联网应用的安全使用这个问题,调查显示超过半数的美国、英国及澳大利亚受访者认为企业中首要负责减少Web 2.0 安全风险的群体应该是最终用户,然后才是企业信息安全负责人及企业技术负责人(CIO)。在法国,最多的受访者认为人力资源部应该负责降低Web 2.0 环境的安全风险,随后是信息安全人员,而日本的受访者认为公司的法规部门及IT部门应该负责这方面的工作。
在调查结果中,最危险的一项也许莫过于这条消息了:在设法降低Web 2.0应用风险的方面,美国及日本的受访者认为这方面的工作非常重要,而很多澳大利亚及英国受访者对此不以为然,觉得可待未来两年至5年才处理。有63% 的法国受访者不太在意Web 2.0应用带来的安全威胁。
实际上,我们不得不承认一个事实:我们对Web 2.0 环境的安全风险的防范,与Web 2.0刚刚兴起时相比,也许并没有本质上的差异。
翻本中国计谋学的传世之作——《三十六计》的第一页,我们也许已能惊异于古人对我们的训诫:备周则不怠,常见则不疑,太阴,太阳。
也许,对于Web 2.0,最可怕的莫过于我们对它带来的安全风险所持有的麻木态度了。
网友评论