首页 > 信息安全 > 正文

Web2.0风靡全球 慎用第三方Web应用程序

2010-08-31 22:30:14  来源:it168网站原创

摘要:小型和中型企业使用了很多第三方web应用程序:因为第三方应用程序能够为他们节省开支,并且能够允许他们嵌入他们不可能有的专业技术。
关键词: web2.0 Web

  小型和中型企业使用了很多第三方web应用程序:因为第三方应用程序能够为他们节省开支,并且能够允许他们嵌入他们不可能有的专业技术。但是同时,这也为他们的业务和消费者带来安全隐患。

  

Web2.0风靡全球 慎用第三方Web应用程序

 

  最近的Network Solutions事件表明这种做法有可能带来非常严重的危害:十天前,互联网域名供应商获知一种存在于至少12万个网页中的网络服务微件通过恶意软件感染了大量访问者。据称,该公司下载了该微件(即Small Business Success Index)到第三方在线目录WidgetBox。

  随着越来越多的企业开始在网站中使用第三方代码,并且从其他网站导入内容,访问者的安全性越来越依赖于其他网站。

  “在过去五年中,web2.0已经风靡全球,”网络扫描公司Dasient公司首席技术官Neil Daswani表示,“作为一名网络管理员,你的安全实际上基本取决于一大堆第三方,所以你必须确保监控所有代码和微件。”

  Network Solutions公司并不是在其网站无意地承载恶意代码的唯一的互联网公司,一年前,攻击者冒充合法广告商在纽约时报网站提交含有病毒的广告,随后通过这个流氓程序,该网站感染了大量访问者(数目不详)。其他网站(例如福克斯新闻、商业周刊等)也不得不面对类似问题。

  在网站承载流氓程序对于企业的影响是非常巨大且长久的。如果谷歌标记某网站为恶意网站(因为包含流氓代码),那么该网站的流量将下降95%之多,Daswani表示,“从我们从消费者收到的反馈来看,即使当这个问题解决后,网站从黑名单移除后,仍然会对流量产生巨大影响。”

  解决这个问题并不容易,并没有标准或者可接受的方法来证明代码是否安全和可靠,代码扫描公司Converity首席研究人员Andy Chou表示,“在其他行业,对于产品的某种质量测量都有相应的认证,”Chou表示,“在其他行业有很多方法来向消费者显示他们购买产品的情况,而在软件产业,并没有类似的认证,用户必须自己对代码进行测试。”

  安全专家建议,企业应该定期对程序进行扫描,检查程序是否为恶意软件或者木马程序,开发人员可以使用静态扫描仪来扫描源代码,以查找安全漏洞。运行时扫描仪和防病毒扫描仪可以被用来检测微件和程序在张贴到网站前的恶意活动。

  然而,这些网站也应该经常进行检查,网站扫描公司Armorize公司首席技术官Wayne Huang表示,“组合扫描是个很好的方法,”Huang表示,“源代码扫描有其局限性,同时客户类型网络扫描也存在局限性,所以结合使用将最大限度确保安全。”

  安全专家认为在大量网站发生类似事故之前,不会有太多网站定期对网站进行扫描。

  “对于这个领域,人们才刚刚意识到,”Coverity公司的Chou表示,“从我们与软件开发组织的合作经验来看,所有这些开发阻止都有大量资源是由第三方来构建的,任何使用软件的地方,都来自于不同的来源。”


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。