因噎廢食的無「智」小站

筆者為什麼要該站稱呼為無「智」小站呢？因為今天該站出的一個因噎廢食公告，實在蠢到爆了。

作者 bbsFAQ (客服中心) 看板 0VIP
標題 [公告] JavaScript 調整說明
時間 Thu Nov 23 13:23:05 2006
───────────────────────────────────────

各位好

會員所使用的 JavaScript 功能

例如養寵物、水滴等等，都有可能是惡意程式碼潛藏之處

如果全部關掉，會造成所有的外連結功能無法使用

為了顧及 VIP 會員的使用權益

目前我們決定保留所有 VIP 會員原本擁有的 JavaScript 功能

一般會員的 JavaScript 將完全關閉

使用 JavaScript 有一定的風險，請 VIP 會員們小心使用

若因為使用了 JavaScript 而造成損害請自行負責哦

讓我簡直是噗 ....


在各家 BSP 不限制 JS 的趨勢下，只有有名大站的 Javascript 需要買 VIP 才能開啟，普通會員降級到只能在側欄邊上，已經降低很多使用者加入會員的意願。現在連普通會員都禁止使用，這不是加速滅亡是什麼？況且據有名大站最新的說法，它們是六月就發現有此漏洞了，就算偵察不公開，那時候不封，上一次出新聞時也不封，偏偏這時候封是怎樣？忽略客戶這幾個月來遭受的安全風險嗎？



況 且，這個風險在於讓 User 使用 JavaScript 上嗎？不是。我猜無「智」小站本身有在偷看我 blog，但偷看一半是什麼意思？無智小站最大的問題在於網站程式沒有寫好，讓語法在送出時沒有被 encode 成無害的文字，透過一些AJAX或其他機制散播的越來越廣，或是讓駭客可以access 到不應該的資訊。


重點在於網站過濾程式沒有寫好，語法沒有 encode 過，而不是 JS 本身。說實在，真的只有 JS 可以達到 XSS 的效果嗎？其實任何能『嵌』的東西都可以玩吧 ....讀者可以自己google有哪些東西可以嵌來玩 XD ，難道有名大站要把嵌的語法通通拿掉嗎？這種因噎廢食的作法，只暴露了有名大站壓根對資安技術沒有任何研究，拿用戶的隱私資料開玩笑，本身能力也低落到不足以偵測漏洞。再加上這個公告也是臨時討論決議的，可以看得到無智小站根本是慌了手腳，只好可以關的就關一關。


不知道此文一出，是否道該站又決議把任何可以『嵌』的東西通通鎖掉呢? .....不過這樣直接開 "找不到網站"力場，應該會比較快。XD


這樣寫下來，筆者猜無智小站應該很後悔沒去聽 "Hacks In Taiwan" 2006 那一場，（還是根本不知道有這種 conference？），會中不但有 XSS 原理介紹與 demo，可以讓它們長長知識之外，也有簡介 CodeSecure 這種可以掃瞄 PHP 程式碼並偵測潛在漏洞（SQL Injection / XSS Attack) 的產品與原理。這麼有錢沒去租來掃，也根本搞不清楚 XSS 原理與實做工程，誇說最高等級的資安防護，根本是笑話一場而已。