2014年7月15日 星期二

Clickjacking: X-Frame-Options header missing - 處理方法

要部署一個無弱點的網站真的不容易,有時候並不是工程師寫的不好,而是hacker太厲害了,可以想出一堆的攻擊方法或弱點來進行詐騙。下面是甲方掃出的系統弱點:

Clickjacking: X-Frame-Options header missing
Severity:Low
Type: Configuration
Reported by module: Scripting (Clickjacking_X_Frame_Options.script)

網路上可以找到這個弱點會造成的傷害:(http://www.hkpug.net/2013/12/17/%E5%B0%8D%E6%8A%97%E9%BB%9E%E6%93%8A%E5%8A%AB%E6%8C%81%E6%96%B0%E6%AD%A6%E5%99%A8%EF%BC%9Ax-frame-options/)

點擊劫持 (Clickjacking) 是一種誘使用戶點擊一個看似無害的超連結或按鈕,實際上卻是點擊在另一個網頁上的一個超連結或按鈕。後果可能是泄露了機密的資料,或無緣無故「讚好」一個網站,甚至開啓電腦內置的鏡頭和麥克風。

解決的方法,可參考這篇文章: https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options

如果是 ASP.NET 可以在 web.config 加上這一段
<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer>

2014年5月29日 星期四

思考下一世代的國家地理資訊系統(3)


參、新定位:從新公共管理到善治

從近幾年國家的幾項重大施政爭議(如國光石化,大埔爭地,服務貿易協定以及核四存廢),可以看出公民團體在這些事件所扮演的角色,基本上是站在政府對面的對抗者,為何這些政策不若社區總體營造通常可以創造雙贏甚至多贏的局面?除了上述這些政策複雜性高,牽涉層面廣以外,從許多政策評論可以歸納出缺少與公民團體有效溝通是主要因素之一,政府的政策不能妥適宣達,或是層面與深度不夠,都有可能在這網際網路發達的年代造成政府對公民活動強度的低估。例如20143月學運之際,透過簡單的網際網路工具便可在短時間內號召數十萬人上街對政府施壓並進而影響政策方向可見一般。

思考下一世代的國家地理資訊系統(2)


貳、    國際上政府治理的發展階段
我國政府之中央行政機關的組織架構自1949年至維持8部2會的建置至1970年代持續了廿年之久;但進入1970年代之後,因應政務的需求,國家最高行政機關行政院的所屬部會開始大量成立,但開始擴編之後,過多的組織機關反而不利於政務的推行,例如行政院屬下具有部會地位的委員會便高達21個之多。

思考下一世代的國家地理資訊系統(1)



壹、 傳統政府的自我定位-大有為政府
        過去廿年國土資訊系統的發展以資料建置為主,並導入主流國際ICT趨勢之網路技術進行單位間資訊的交流分享,到國土資訊系統十年發展計畫的尾聲,政府各單位對於空間資訊已不再陌生,更對網路服務提供的跨單位資訊分享能夠普遍體認並實作,使我國在國際空間資訊領域佔有一席之地(如OGC、GSDI、ITU等)。