網站安全有待改善

先看兩則統計。上半年特區有超過1.6萬宗科技相關罪案,損失近27億元,有大約四分之一與網絡安全有關,可見因網絡安全失誤佔比不低。另一方面,香港互聯網註冊管理有限公司公布調查結果,在過去五年檢查三萬個香港網域網站,發現有44%網站使用不安全的第三方服務連結,32%網站洩漏伺服器資訊,26%有不適當的Cookies配置,上述三種情況均會提升網站遭受黑客攻擊及入侵的風險。所謂香港網域網站,就是那些使用.hk 或. 香港等作為頂層網域名稱(TLD)的網址,這些網址正正由上述公司管理。可見香港網域名稱的網站資訊安全有待大幅提升。中國香港資訊辦正全力推動網絡攻防演習,提升本港網絡安全云云,成效如何則有待觀察。當然上述主要是針對網站提供者的風險分析,但作為這些網站的使用者,資訊風險亦不容忽視。瀏覽期間資訊可能被中間人偷取,行為習慣可被監控,儲存於伺服器的資訊被盜取,第三方可透過網站植入有害程式。順帶一提的就是若果你在往網域名稱看hk,若果不是TLD,這些網站不是由上述公司管理,提供者不一定在香港註冊。事實上,不管在網站在何地註冊,網站存在安全隱患情況極之普遍,在哪裏註冊分別不大。

連繫及追蹤是生態

事件亦正好提醒大眾,不要以為瀏覽一個網站就只是一個連結,收取一個曲奇這樣簡單。一個網站隨時把你連到數以百計不知名的連結。讀者可能會有疑問為何如此?其實這正正就是html 設計特點。一個網站可利用超連結使用第三方資訊及服務,目的大多是提供資訊,進行市場統計分析、登入認證、支付等,但亦有更侵入性的服務,例如追蹤使用者行為,進行裝置指模打印,套取個人資料,彈出廣告賺取收入,甚至植入惡意程式。一般使用者未必可以清楚了解網站背後有多少這些連結或曲奇。最簡單的方法就是利用網上工具,例如urlscan.io,當你輸入網站連結,工具便進行分析,列出的外部連結及其地理位置,曲奇來源等,用家起碼可以目測是否有明顯不符邏輯的資訊。筆者利用網上工具測試了兩個網站。一個是大眾常用的Yahoo,另外一個是某本地網上保險公司。結果發現前者涉及38個網域,曲奇總數達191個。後者則接觸50個不同網域,當中有兩個在中國大陸,49個曲奇。可見一個網站背後有多少連結超乎一般人所想。是否安全要逐個判斷,筆者憑經驗推論上述都是提供資訊、追蹤及廣告連結,有中度私隱風險,截住這些連結對服務並無影響。

(Freepik)
(Freepik)

提升瀏覽安全有法

一個網域內隱藏連結是否安全,對一般用家而言並不容易判斷,筆者唯有提供守則降低風險。首先,建議使用VPN,避開洩漏你的IP。任何追蹤或攻擊最希望先取得你的IP,因為IP是最簡單最直接的識別工具,亦是攻擊路由器的大門。其次是選一個較注重私隱及安全的瀏覽器,例如Firefox或者DuckDuckGo,這些瀏覽器預設拒絕第三方跟蹤,將每個網站曲奇分隔,提供基本裝置指紋打印保障,預設使用https(即加密連線)等。在使用上,利用不同的無痕視窗開啟不同的網站,可避免任何跨網站聯繫。請設定在關閉瀏覽器時清洗所有暫存及Cookies。輸入任何個人資料時,請再看一次頁面的網域名稱,確保正確及旁邊有上鎖的標誌。若你對私隱安全要求較高,可利用更高級別的手法。例如指定利用私人DNS,網域下的所有連結連結將經過DNS,私人DNS可以系統性過濾,而且有很多預設選項,專門過濾廣告、追蹤或有害連結、又或截住連線到極權國家。另一手法是讓瀏覽器在沙盒內執行,適當設定下沙盒不能取得亦不會影響沙盒外的資料。再有一招就是使用虛擬瀏覽器,連上網站的是提供虛擬瀏覽服務的伺服器,傳到你的電腦終端只是影像,只要你不輸入個人資訊,禁止聲音及影像輸入,即使瀏覽的網站有安全隱患,都不會影響你的裝置。

瀏覽網站是現代人的日常。但其實瀏覽背後運作相當複雜,提升對瀏覽運作的基本認識,可以幫助更深入了解風險所在,從而避開陷阱。◇

 

 

------------------

🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮

🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand