Page 34 - 清流雙月刊 NO.39

P. 34

MJIB

Google 網站有強制安全傳輸的
機制，連線若受到攻擊，會出
現連線失敗的回應。（圖片來
源：作者提供）

我們鍵入網址時，可能不會加上議要注意 URL 的內容，以下有幾個簡單的

https:// 或是 http://，但安全網站會將其轉判斷方式：
換成 https 的安全連線。然而有項駭客的
（一）故意與某些知名網站類似，但卻
技術稱為 SSLStrip，可透過中間人攻擊，
有一些差異，如 go0g1e，或是
將原來要連線至 https 的重導向而映射到
rnicro.soft.com 之類的，讓使用者
http 連線，駭客因此能夠擷取重要的傳輸
產生錯亂。
機密。而目前最新技術加上強制安全傳輸

的機制（HTTP Strict Transport Security, （二）縮短網址（Short URLs），例如，
HSTS），不允許跟網站之間進行無安全加 bit.ly、TinyURL 所提供的縮短網址

密的傳輸，如此應可避免這類攻擊。此外，服務，能夠取代長網址而使得連結
若遇到安全連線時憑證有問題的情況，如的交換較為便利。然而由於這類短

類似「您的連線不是私人連線」，或者是網址掩蓋了真正網址的諸多資訊，
「網站的安全性憑證不可靠」等警告頁面，譬如真正的域名以及隱含的參數或

也請勿按下「仍要繼續」，以免引來隱藏檔名等，因此判斷良善或惡意並不
風險而不自知。容易。 8

二、睜大眼睛注意網址（三）網址前放置令人信賴名稱，如

google 後面再加上擴增的網域
我們在連線網站之前，通常將游標放
名。例如 http://login.google.com.
7
在連線處，會出現連線的 URL 資訊。建

7
注意有些惡意透過 XSS 攻擊，其連線實際上是 Submit 按鈕以及一大串的填入資料，此時要避免與其連線。
8
基於過去許多安全的事件也因縮短網址而起，建議連線時仍要特別留意。

32 清流雙月刊

29 30 31 32 33 34 35 36 37 38 39