最近一些网络开发者抱怨,微软为防止网络诈骗而推出的IE补丁,将导致部分安全作法不达标准的应用程序无法使用。
为了防止一些不安全的做法,微软在上星期宣布修改IE浏览器,禁止在链接中包含一些敏感信息。此补丁于周一发布后这两天引起许多网站管理员不满,因为只要URL中嵌有隐私信息,网友就无法登入网站。
软件工程师James Rosko说:“微软推出这个补丁也许有它自己的理由,但它全面性否定产业标准的做法却带来麻烦。”James Rosko和其它程序员星期二晚上一直在修改程序,以便他的网站可以让用户正常登录。
具体问题如下,如果程序员设计的一个网站允许网友在网址中键入用户名和密码直接登录,比如像这样的网址:http://username:password@www.somecompany.com/program.ext,就会发生问题。这样的网址可让网站直接以验证程序检查用户的身份和密码,以方便网友造访公司网站。
由于用户名和密码是网址的一部分,而且未经加密,因此,有专家认为这种在网址中直添加用户名和密码连上网站的方法并不安全。
但微软最新的IE补丁之所以取消这项功能并不是这个原因。微软之所以做这项改变,是为了防止诈骗集团利用虚构的URL网址,以合法网站做掩护而把使用者连到不肖网站。例如http://www.ebay.com@fraudsite.com表面上好像要连到eBay,但其实是连到fraudsite.com。
这种诈骗网站通常会要求用户键入自己的使用名称和密码,然后再利用这些信息达成其诈骗的目的。美国联邦存款保险公司近来就警告说,有些人利用这一方法进行诈财活动。
安全及隐私专家Richard Smith表示,大部份人应该都不知道有这种功能,当然的,除了那些诈骗集团之外。
程序员Rosko坦承,直接在URL中嵌入只用者名称和密码的做法不安全,但他表示,有些应用和安全无关。
抱怨归抱怨,但一般情况下,一旦IE进行了升级,要想再恢复是比较困难的。
|