Meebo - 隱性的安全危機
現在假使有個會使用電腦的人沒有聽過 MSN、Yahoo! 即時通,那他肯定是上古時代的人了。這些 IM( Instant Messenger,即時通訊)軟體幾乎已經成為資訊人生活必備的精神食糧,就像是每個人出門隨身都帶著手機的程度一樣,不過總是會遇到有些無法使用這些軟體的狀況,像是在網路控管的辦公室上班、或是在朋友家臨時想聯繫 IM 上面的朋友等,這個時候 Meebo 就很好用啦!只要能夠連上網路,透過瀏覽器一樣也可以很快的跟朋友聊天。
不過,這回我們不是要提倡 Meebo 可以怎麼幫助我們在上班時間突破 MIS 的層層封鎖,而是要討論一個嚴肅的話題 ─ 「這樣做真的安全嗎?」。是的!我們都知道其實 Meebo 提供給使用者的是一個統一的介面,讓使用者不管是用 MSN、Yahoo!、AIM、Gtalk 的帳號通通都可以輕輕鬆鬆的登入,但是在大家享受這樣的便利性時,是否曾經想過這樣是否安全?帳號、密碼或是個人資料會不會因此而洩漏給 Meebo?畢竟當我們用 Yahoo! 帳號到 Meebo 登入 Yahoo! 即時通的時候,資料已經是不知不覺得透過第三方網站(Meebo)才傳到 Yahoo! 的系統,以目前常見的情況來說,通常都是由網站本身告知使用者他們的隱私權政策作為一定程度的保證,一般的情形下,我們也就相信了他們的保證,或者說更正確的說 ─ 其實大部份的人並沒有很仔細的瞭解他們究竟保證了甚麼。
網際網路因為其通用方便的特性而快速興起,它結合了眾多技術應用,然而它並非是一個安全的環境,雖然像 SSL 這類的加密及認證機制可以加強網站的安全性,但是這樣只有確保兩點,其一是使用者與網站之間的資料通訊是安全的,其二是確認網站與使用者雙方的合法身份,至於使用者為甚麼願意相信這個網站能夠保護它的隱私資料,則是建立在一個信任的基礎上。不過,自從騙取使用者資料的釣魚網站出現以後,這樣不借助任何技術驗證的信任基礎開始面臨考驗,於是逐漸也有了像 Yahoo! 安全圖章 [1] 這樣的對策出現。
但是使用者可能忽略了另外一個隱性的安全危機正在的出現,像是 Meebo 這種跨站登入技術就是這樣的隱性殺手。我們可以相信 Yahoo! 會盡力的遵守它對保護我們在 Yahoo! 隱私資料的承諾,那 Meebo 呢?我們對於這樣的網站有多少的信任程度呢?在越來越多像這樣的跨站技術應用出現以後,這種信任會出現一種危機,使用者可能會因為越來越習慣這樣的應用以後而失去了警戒心或者根本不瞭解背後的潛在風險,就如同釣魚網站想騙取使用者的帳戶資料一樣,難保未來不會出現掛羊頭賣狗肉的網站,利用使用者的信任來藉機騙取這些資料。
除此以外,網站本身的技術能力也是另外一項考驗,我們可以相信像 Google 這種公司擁有足夠的技術能力保護我們的資料安全,卻不能保證其他使用跨站登入技術的網站設計者一定也擁有夠強的技術能力。如果 Meebo 與 Yahoo! 之間的資料交換不是基於可靠的加密協定怎麼辦?如果 Meebo 遭到入侵破解怎麼辦?如果出現了 Meebo 的釣魚網站怎麼辦?對網站保證的信任與對網站技術的信任,隨著越來越多樣的 Web 2.0 應用起飛,也伴隨著越來越多的危機,而眾多的網路使用者們做好準備了嗎?
[1] Yahoo! 安全圖章請參考 Yahoo! 奇摩的說明。
Meebo : http://wwwe.meebo.com
No responses yet
