無分類雜文 14 Oct 2008 01:49 am

推到 Twitter!
推到 Plurk!


無名小站自 10/14 起禁止新增 javascript 的原因 - XSS



自我揭露:我是 PIXNET 的兼職員工。

這是剛剛艾瑪向我抱怨的東西,詳情可見無名小站的公告。大意是自 10/14 號起禁止會員新增所有的 javascript。

這個影響層面蠻大的。意味著很多廣告,小玩意從此都不能再掛了。之所以會做出這次的變動,我想可能跟知名資安組織 chroot 前幾天所發佈的風險警告有很大的關係。看起來的弱點,像是無名小站現有的架構,還是有辦法讓惡意 JS 自動在使用者間傳染,並下載惡意程式以及木馬 ( XSS vuln)。在當下的狀況下,無名小站無法解決這種問題,所以宣佈自此禁用,直至修復為止。

再來聊一聊 PIXNET 會不會有這種類似的問題 (XSS vuln)呢?

– 再自我揭露一次,我是 PIXNET 的兼職員工。–

畢竟部落格使用者還是相當在意廣告以及小玩意能否自由懸掛。PIXNET 在這方面的疑慮我想會是比較少的,PIXNET 在前兩個月被大家幹到翻的改版當中。將後台網址以及前台網址拆開了。

前台網址是 http://username.pixnet.net,後台網址是 http://panel.pixnet.cc 。
( 而無名小站前台是 http://www.wretch.cc/username/blog , 後台網址是 http://www.wretch.cc/admin/blog/ )

當然不否認部落格能夠懸掛 JS 還是會有風險在,但 PIXNET 被用 XSS 手法連鎖入侵的風險相信是遠遠較低的(因為前後台網域拆開因此可以避免一些風險)。而無名小站這次會大動作的禁用,也是因為在這種架構上,很難防止有心人士嘗試,不一定有辦法短時間修復(而且類似情形有可能層出不窮,主要是因為架構問題)。


關於什麼是 XSS, 可以參考敝人舊文 十多分鐘抵禦XSS且擊退攻擊的神奇技術? 。或者 google:// XSS



This work is licensed under a Creative Commons Attribution-Share Alike 2.5 Taiwan License. [本文採 cc-by-sa 授權,白話意思就是可以直接轉走,但是要附出處與作者)]

Creative Commons License

12 Responses to “無名小站自 10/14 起禁止新增 javascript 的原因 - XSS”


  1. on 14 Oct 2008 at 2:14 am 1.baliman said …

    哭哭 我的會員權益又要縮水了…=_=

  2. on 14 Oct 2008 at 2:45 am 2.amarylliss。艾瑪[隨處走走] said …

    重要公告:10/14(二)中午後,請不要更動邊欄和banner…

    在 2008/10/14 (二) 中午之後,無名小站的使用者,如果你有在邊欄使用 JavaScript
    者,請千萬不要動邊欄!千萬不要去點編輯邊欄…

  3. on 14 Oct 2008 at 9:08 am 3.billypan101 said …

    無名難道就不能想出解決問題同時不影響會員權利的做法嗎?

    Xdite,去無名上班啦!

  4. on 14 Oct 2008 at 10:03 am 4.taddy said …

    會不會哪天..無名宣佈..因為資安問題..禁止格主本人以外瀏覽blog 之類的XD… 就不會有什麼被騙連結之類的問題了XD

  5. on 14 Oct 2008 at 10:17 am 5.vv said …

    pixnet 也沒有想出, 不影響會員權益, 又解決問題得方法不是?

    上次更新版本的事情, 現在大家全都龜起來當沒這回事.

  6. on 14 Oct 2008 at 10:37 am 6.PRIDE said …

    …….我是一般會員….天ㄚ

    初訪
    WELCOME MY BLOG
    Great to meet u
    **請於參觀完後,留下您ㄉ足跡及建議**
    或至 http://www.wretch.cc/guestbook/kevinyty留言
    THANKS

  7. on 14 Oct 2008 at 1:47 pm 7.Girvan said …

    而無名小站前後台網址寫錯囉!
    想請教一下XDite大,目前無名是以iframe且不同網域放置javascript,javascript可以做導頁,難道無名是不想讓人導頁嗎?還是在這種架構下,還可以對頁面做出別的事情,或是用導頁來詐騙?

  8. on 15 Oct 2008 at 2:04 am 8.ㄧ中同學 said …

    我改正妹聯播的寬度,結果也掛點了,靠,我剛付費買銀卡溜。

  9. on 18 Oct 2008 at 1:40 am 9.Denish said …

    只想問XD大什麼時候去pixnet啦? XD

  10. on 28 Oct 2008 at 10:54 pm 10.Kuon said …

    不是改 domain 就能偷笑百步阿 …. HTTPS support 呢?

  11. on 30 Oct 2008 at 11:45 am 11.MayMay said …

    嗯~~~
    對呀對呀~
    怎么辦呢???
    那么修復后是多久呢??
    日后還能用小玩意嗎???

  12. on 21 Nov 2008 at 12:46 pm 12.地球廣告 said …

    我發現到
    他們連Google AdSense的廣告都要凍結
    http://earthads.blogspot.com/2008/11/adsense.html

Trackback This Post | Subscribe to the comments through RSS Feed

Leave a Reply