安全风险评价摊在用户眼前
Google将企业网站安全风险直接摊在使用者眼前这就是所谓的Google网站安全警告服务:直接于搜寻结果中,针对已被检测出恶意程序的网站,会于网址下方,直接标示恶意网页的警告,提醒检索 的使用者避免进入该网页,甚至会阻止使用者直接点选搜寻结果清单中的连结。使用者若想浏览该网址,需自行于将网址复制到浏览器网址列中执行,才能进行浏 览。对使用者而言,企业网址若未能通过Google的安全检测,即使出现在搜寻结果清单中,浏览便利性也大幅降低,等同降低使用者对该企业网站的使用意愿。
过去这类被入侵的网站案例,多流传于网络安全的特定几个技术论坛或部落格中,台湾少数资深安全技术网站的站长也定期汇整出高风险网站清单,例如 “大炮开讲”部落格站长邱春树,他经常汇整各方发现受害网站,建立网站黑名单并定期追踪修复情形。一方面提醒网友避开危险网页,同时希望提醒网站企业主修 复网站。这些高风险网站名单,仅流传于少数技术社群,或原本已具高防护力的网络使用者。除少数机敏性信息服务的企业体,例如金融业,会慎重因应与处理相关 网站安全漏洞外,对多数网站的企业主而言,不见得能直接感受到网站入侵的杀伤力与安全修正的迫切性。甚至质疑社群的侦测结果。
企业需面对金融信息等级的安全期待Google对恶意网站的警告,不仅是宣示企业网站的安全风险,还将原本专属于特定服务网站中,高机密敏感信息的安全风险,复制到每一个被贴上恶 意网站标签的网页。对使用者而言,是否浏览这个被宣告具恶意程序的企业服务,不仅考虑该服务内容的敏感性,还需担忧是否会因浏览这个恶意网页,而导致个人 数据、信用卡数据、银行账号密码等敏感数据的外泄。
比如说,当使用者透过搜寻引擎查询电视节目表时,若发现该节目表网页遭入侵,成为恶意网页,使用者就会面临抉择,是否愿意冒着泄漏个人信用卡数据的风险,来查询待会要看的电视节目名称,若相同功能但安全的连结一起并列,使用者会打开哪个连结,结果显而易见。
过去使用者无法得知企业网站的安全程度,往往不易唤起使用者潜在的安全顾虑。Google将风险的关连性显现使用者的浏览器画面中,使用者检视连 结的同时,自然会察觉到安全上的顾虑,进而评估选择的后果。也就是说,企业网站不论内容为何,都将受到使用者高规格的安全标准,甚至会被视为与个人隐私资 料或金融数据同等价值的信息。企业将面临新的挑战,以本身的服务内容,来规画网站的安全设计,已不能满足使用者,更需从使用者经验过的最高信息安全规格审视自身网站。
恶意网站警告及时性不足,解除费时恐有争议趋势科技技术顾问戴燊肯定Google的做法,他认为这将使企业主动面对网站资安问题。但他表示:恶意网站警告的及时性是关键,能否迅速发现,达到警告使用者的效果。或者企业移除恶意程序后,能否迅速解除,维护企业网站的商誉,配套措施必须完整才不易引起争议。
目前Google辨别恶意网站的速度,平均每天可处理30万个可疑连结,存在超过一周的恶意网址,才纳入警告范围。以Google数十亿网页索引量,短期内恐难以及时发现恶意网站。
目前市面上亦有不少防护工具,可提供恶意网页警告机制,如IE浏览器、Yahoo!工具列、McAfee的SiteAdvisor或多数防毒软件 等。但采取与Google不同的做法,多数针对使用者所浏览的单一网页进行检查,当出现路过下载恶意程序的行为时,会提醒使用者危险,同时拒绝连结。 Google采连坐管制方式,可能会导致过多连结不易浏览,引起使用者反弹,扩大了恶意连结的影响效果。
对Google误判或已修复的网站,网站主需自行申请第三方机构复查,结果送Google后,才能移除警告标示。申请程序未提供中文版,企业主恐
怕不易于短时间内立即解除状况,商誉受损时间恐会比恶意程序实际影响维持更久。短期可能会引发网站企业主对网站安全检测评鉴以及相关安全防御机制的需求。企业主不得不越来越重视上线前安全检查、平时维运的安全监控与防护机制,避免遭入侵后耗时解决引起的损失。
网友评论