Vista 夠安全嗎？

本報內容由 iThome online 提供　每週二∼六出刊.2007.10.30

iThome產品技術報 下載PChome免費撥接 免費電子報 有料電子報 個人電子報 Vista 夠安全嗎？ iThome飛越六周年 本期目錄     •ASP.NET的網頁要如何調整才能更安全？     •微軟Vista的強心針     •Vista 夠安全嗎？   • 1109(五)資安防駭出奇招研討會，全新視野、震撼觀點   • 快來為明年的專案做準備，專案報價與成本分析技巧！   • 資策會學員陸續將ITIL認證升級為V3，首批通過率達100%！   • 參加資策會ISO20000顧問認證課程，可取得21PDU！   電子報最新消息 • 把握推銷的關鍵   良好的接近，就可掌握75％的成交率 • 現代企業病－白領胃痛   競爭的職場環境下如何保健你的胃？ • 文章結尾如何寫得好   不用妄自菲薄！寫作文除了一點靈感，更需要方法！ 專欄     ASP.NET的網頁要如何調整才能更安全？ 用ASP.NET開發動態網頁，有哪些程式開發細節要注意，以避免遭到注入攻擊？ 注入攻擊（SQL injection）是指駭客透過網頁的輸入單元，將SQL語法或網頁程式碼藉著文字輸入的表單，將這些字串回傳，當網頁程式處理這些輸入的字串時，就會執行當中的程式碼，將資料外洩或導致資料庫系統損毀等資安問題。 探究網站會遭受到注入攻擊，主要是因為網頁程式對於輸入資料的驗證及處理方式不夠嚴謹，讓駭客藉此攻擊網站及資料庫。要避免網站遭到注入攻擊，開發人員得在網頁程式撰寫和資料庫設定上多費些功夫。開發人員可以針對下列4大部分下手，減少網站遭到攻擊的機會。 一、限制存取權限 資料庫權限要設定好。最好針對網站的資料庫存取，建立對應權限的個別帳號，且詳細設定該帳號存取資料的權限。例如使用者帳號僅需要查詢資料，就應該關閉其他資料庫存取功能，避免駭客透過以使用者帳號發動攻擊，任意將資料刪除或修改，造成資料庫損毀。 全文>> ▲TOP 微軟Vista的強心針 從白帽駭客深入研究Vista的結論來看，微軟斧底抽薪的4個關鍵作法─安全程式開發方法、使用者存取控制、隨機編排記憶體位置、核心防護機制，都發揮了強心針的效果，讓Vista成為一個夠安全的作業系統。 Windows作業系統夠安全嗎？相信多數人都會認為不夠安全，這樣的反應很正常，因為微軟作業系統在安全問題上狀況百出。相信眾多的Windows XP使用者都能感同深受，以前可能只要修補重大的系統漏洞即可，但現在似乎是有修補不完的漏洞，因為大大小小的漏洞不斷被發現，幾乎得要每個月定期安裝修補程式，以免被駭客利用新發現的系統漏洞來攻擊，於是使用電腦的經驗就是一個不停修修補補的過程。 當我們詢問使用者對微軟新一代作業系統Windows Vista安全性的看法時，很多人都立即反應出微軟作業系統長期給人的印象：「別開玩笑了，Windows何時安全了。」 落到這個下場，微軟當然是不能再不重視安全的問題，比爾蓋茲公開宣誓要徹底檢視程式安全，微軟的新作業系統Windows Vista的上市時間因而大幅延後。最後Vista成為微軟史上投入最多人力、經費，從頭以安全程式開發方法來開發的作業系統。微軟宣稱這是Windows史上最安全的作業系統，但是，以Windows作業系統之前的記錄來看，聽完微軟的說法之後，還是不得不質疑：Vista真的夠安全嗎？ 全文>> ▲TOP 專題報導     Vista 夠安全嗎？ 要檢視作業系統的安全性，光聽微軟的說法是不夠的，我們找來對微軟作業系統有深入研究的白帽駭客，從駭客攻擊手法來分析Vista是否夠安全。 Vista安全的4劑強心針 臺灣微軟在今年1月正式推出Windows Vista，若與前幾代作業系統相比，微軟斧底抽薪做了根基的調整，包括SDLC、UAC、ASLR以及PatchGuard等4大安全機制，都是讓微軟新一代作業系統，可以讓駭客頭痛的祕絕。 ▼阿碼科技首席資安研究員邱銘彰： ▼中華電信資安辦公室資安技術組長李倫銓： 「Vista是微軟史上第一套從防範駭客入侵角度開發的作業系統。」 「Vista導入SDLC產品開發方式，可有效降低XP作業系統中常見的Buffer Overflow攻擊。」 第1劑 SDLC安全程式開發方法 SDLC是一個斧底抽薪的好方法，從整體開發階段改變寫程式的思維，這種寫安全程式碼的產品開發方式，對於以往XP作業系統中常見的Buffer Overflow（緩衝區溢位）攻擊，可以獲得大幅改善。 第2劑 UAC使用者存取控制 UAC是一種權限的提升，會出現微軟警示視窗，可防止應用程式弱點被應用。UAC透過設定IL級別，讓低IL級別的程式不能發訊息給高級別的程式，便可以解決以往在Windows XP上的UIPI（使用者介面隔離政策）的問題。 第3劑 ASLR隨機記憶體編排 隨著Vista加入ASLR功能，讓每個作業系統記憶體空間位置編排隨機化。未來，Vista很難出現蠕蟲，也很難有大規模的病毒擴散，即使是緩衝區溢位攻擊的漏洞，也很難利用透過推論記憶體位置的手法，再次成功攻擊。 第4劑 PatchGuard核心防護機制 在Windows XP有許多惡意程式透過Rootkit手法，自我隱藏並變更作業系統核心層程式，因為防毒軟體多數難以察覺Rootkit，導致相關資安案件層出不窮。微軟為了杜絕這種後遺症，在開發Vista時祭出了殺手金間PatchGuard，禁止所有應用程式變更作業系統的核心層。 5大構面搭起Vista安全網 Vista的安全機制大致從SDLC、惡意程式防護、資訊保護、安全平臺以及相容性等5個面向著手。其中，在惡意程式防護中的IE 7.0、雙向防火牆的功能，以及資訊保護中的BitLocker功能，和企業面臨應用軟體相容性問題的配套措施，都是Vista安全機制的一部分。 全文>> ▲TOP 前期文章 全部歷史文章 出刊日期 出刊主題 2007-10-27 .NET引進物件關連映射技術 2007-10-26 從臺大超級電腦看伺服器散熱問題 2007-10-25 RIA說文解字 2007-10-24 北歐生活的奧祕 2007-10-23 技術不至於會是問題？ 感謝你訂閱這份電子報，下列電子報或許你會喜歡，請勾選    Stuff科技時尚誌    D．FUN數位享樂誌    ToGet 軟體報    網路遊戲密技吱吱 ...    遊戲新幹線玩家快 ...    iThome IT管理報    PC Office電子報    數位時代 我要訂閱這份報紙» 我要取消這份報紙» 訂報說明 ．本電子報內容由 iThome online 提供 ．關於內容有任何疑問，或欲轉載請聯絡 PChome ePaper 電子報版權所有，關於電子報發送有任何疑問，請聯絡 客服 台北市敦化南路二段105號11樓 ，TEL：(02)2708-8038，FAX：(02)27094848。

． 刊登廣告． 個人連結． 企業合作． 隱私權聲明． 關於PChome． 徵人 網路家庭版權所有 Copyright PChome Online 版權所有，轉載必究