圖為使用Chrome瀏覽器進入遠東商銀網路銀行企業用戶專區,登入頁即顯示後台控制訊息。

網友發現遠東商銀網站出搥,進入網路銀行企業用戶專頁,網頁竟顯示伺服器回應的程式碼,資安專家認為可能產生後台資安風險。 

成立已有20年的遠東商銀被網友發現,進入該行網路銀行企業用戶專頁時,使用IE以外的其他瀏覽器,例如Chrome、Firefox、Safari,網頁竟然顯示後台管理訊息,使用IE瀏覽器則顯示正常網頁內容,讓網站安全暴露在潛在資安風險下。 

記者今天(8/23)向遠東商銀反應,上午遠東商銀已修正問題,IE以外的瀏覽器已能顯示正常的網頁內容,但無法估計問題發生的時間有多長,以及是否已產生資安問題。 

對此,遠東商銀回應,該行網路銀行服務於5年前曾經過一次大改版,今年初又有一次小改版,可能因為使用網銀企業用戶不多,至今不曾接到使用者反映此問題,經過資訊部門查證,網頁設計之初僅針對主要瀏覽器設計(指IE)才會出現疏失,目前已修正問題,因必需登入系統才會要求用戶資料,目前尚未有直接的資安風險。 

不過,資安專家卻指出,雖然沒有直接顯示個人資料,但是基於正常服務的設計原則,將網路銀行後端伺服器的處理程序、指令訊息曝露在外已超出合理程度,有心人士得以一窺後端運作方式,背後曝露的資安隱憂不容忽視。 

資安專家表示,從資安的角度來看,任何顯示出不該給用戶知道的訊息都會產生潛在的疑慮,從資料上可看出業者以Java開發應用程式,就掌握的內容來看顯露伺服器判斷用戶端輸入資料的程序,有心人可以從中尋找腳本的蛛絲馬跡,後續從事進一步的攻擊行為。 

資安專家表示,從資料上來看應是網路應用程式的撰寫出問題,不支援的瀏覽器將伺服器與應用程式間的回應訊息顯露出來,若有連接資料庫或檔案庫的程序,就容易成為攻擊鎖定的目標。 

該起事件突顯了企業應視市場變化調整服務的相容性,尤其是對外開放使用的網路服務,難以限制使用者的瀏覽器,因此視市場變化定期的維運網站有其必要性。 

專家認為,每個資安事件背後都有許多成因,以該案例來看,不僅是相容性上的問題,從綜觀的角度檢討整個運作機制,背後衍生出的其他層面問題,例如內部稽核控管、系統設計等等,企業對外提供服務或交易不得不更加小心謹慎。 

現在的網路使用環境已是今非昔比,IE雖然還是第一名,但不只市佔率今非昔比,甚至地位還是搖搖欲墜的。不只如此,行動平台的掘起,也正加速稀釋IE的影響力。如若將透過行動平台上網的數字加進去,IE的市佔率恐怕早就已不到一半──甚至正以很快的速度在下滑──行動平台的瀏覽器目前還是以iOS上的Safari以及Android瀏覽器為大宗,IE根本連小三都不是。在這樣新的環境生態裡,保守的銀行與金融企業主們,你還在死抱IE嗎?(轉自: ITHome  &  IT黑傑克 )

目前 希文資訊網頁設計,皆會經過IE7~9以及各瀏覽器IE、Chrome、FireFox的測試。
找最專業的網頁設計希文資訊 02-2242-9995

arrow
arrow

    9G 發表在 痞客邦 留言(0) 人氣()