安全將是網站的必要條件

最近幾個月來，網站被植入惡意連結的事件層出不窮，幾乎每天都有網站受害，而且，這些網站並非只是小型網站，有些大型網站也不能幸免於難。甚至，有些網站在事件爆發後仍久未處理。

為何這類型事件會如此頻繁地發生呢？是駭客太厲害了嗎？本期的封面故事，我們深入追蹤這個事件，發現並不見得是攻擊者的厲害。熟悉這類攻擊手法的資安專家告訴我們，這些攻擊事件仍然是以常見的攻擊手法得逞的，只是攻擊目標轉移至網路伺服器，在網頁中植入了惡意程式連結，導向至惡意網站，自動下載惡意程式安裝在瀏覽該網頁的電腦。

資安專家說，這類攻擊大多數仍舊是利用作業系統、網站伺服器、應用程式的漏洞，並不是「高手」的作為，很可能只是利用現成的攻擊軟體。這些漏洞大多數都是已公布的資訊，甚至軟體廠商也提供了漏洞修補程式。

既然都是已知的漏洞，為何還讓駭客有機可乘？甚至在資安專家持續公布受害網站、提醒大家注意的情況下，此類事件還是層出不窮。深究其因，這個事件突顯了臺灣網站安全的極大危機。

現今要架設網站非常容易，因為有許多輕易就可取得的軟體套件，只要找個有經驗的工程師外包處理，企業不必雇用專職資訊人員，也可以架設企業網站或電子商務網站。

這種一次外包網站開發模式，是多數臺灣中小型企業所採用的方法。在網站安全威脅還不嚴重的情況下，這種方法既經濟又快速，但是，在今日網站安全威脅加劇的狀況下，這種方法讓網站安全顯得漏洞百出。

因為採取一次外包網路開發模式，許多臺灣的網站是乏人照顧的，因而即使軟體廠商已經公布了漏洞修補程式，有許許多多的網站並不會立即修補這些漏洞，如此就讓駭客有了可乘之機。這個問題的嚴重程度，由多個網站在被攻擊數月後仍未見修改即可看出。

對於無法雇任專人專職開發網站，許多中小企業主心中也有頗多無奈。經營者既想透過網站來做生意，就希望營造一個顧客能常光顧的環境，網站安全能做好當然是更好，但總無奈於沒錢雇任專職資訊人員。

現在，或許網站經營者還可以在這般無奈下持續維持網站的經營，但是，可預見的將來，如果你沒辦法做好網站的資訊安全，不論你有多麼地無奈，顧客就是上不了門。

首先發難的是網路界令人敬畏的Google，因為Google開始掃描全球的網站，針對其安全風險給予評價，若該網站的安全風險過高，Google將採取一連串的措施來告知搜尋引擎使用者，使用者將無法直接連結該網站。

在我們截稿的當下，以Google搜尋「王建民 ESPN」，在Google的搜尋結果中，「ESPNSTAR中文網」連結下面，Google就直接註明了：「這個網站可能會損害您的電腦。」，即便我們發現ESPN中文網已經修正了安全漏洞，但Google對於這個網站的安全評價仍未立即修正。

在Google之後，其他組織也打算這麼做。不論目前這種做法是否有爭議，但所透露的訊息是再明顯不過了：未來，網站不安全，顧客就上不了門。