資安觀點

有什麼比定期收到廣告訂閱更煩的事？就是對方還設計了一個無效的退訂頁面。

有些廠商的行為雖然還稱不上濫發廣告信，但無止境的活動電子報同樣讓人厭煩，對於來信中那個小小的退訂連結，有時不要期望太多，除了部份有心人藉此確認你的email正確性外，多數廠商似乎抱著應該要做卻又不情不願的心態，幻想著你會在過程中反悔，甚至臨走前再消費一筆。

在這過程中你可能會開始神智不清忘了目的，然後向對方的客服人員抱怨填寫退訂系統所遇到的困難。這些退訂頁面可能充斥著：

• 無窮迴圈的連結
• 再三的確認
• 繁瑣的表單
• 要先來電取得取授權碼
• 顯示不出來的 Captcha

前兩週 IBM 對外揭露，今年 2/23 日在將磁帶移送到紐約西切斯特郡途中，不慎發生事故而遺失了這批磁帶，其中所儲存的資訊主要為退休員工的個人資料，其中包含了姓名、社會安全號碼、生日、地址等，上個月人事單位才通知可能受影響的人員，同時還在當地報紙上刊登了廣告，請求拾獲者送還這些磁帶。

群組與分享是 Web 行事曆的關鍵應用，許多人早已習慣在 Google Calendar 中排定大小事，雖然需要額外設定才能開放，但如果稍加搜尋一下公開行事曆，會發現其實公開的並不少，除了本來就希望曝光的研討會、活動等行程外，亦不乏許多人的詳細工作、生活點滴，例如搜尋帳號這個關鍵字，已可發掘不少私人資訊，當然相較之下，用 Google 可以搜尋到更多有趣的資訊，但 Google 日曆卻能讓人更專注於特定對象，目前這個問題因為國內使用人數/資料量仍不多，看來似乎並不嚴重，但將來有可能成為另一個隱私缺口，如果有心人已經鎖定了你，組合其中的片段資訊，就足以讓詐騙集團二轉為社會工程等級。

av-comparatives.org (AVC) 的測試報告似乎受到不少人推崇，而我一向未加留心，但看到他們今天發佈的 Anti-Virus Testing Websites，其中羅列十幾家測試防毒軟體的機構，並談論其基準與信賴度，其中並明確指出了不值得信賴的機構，此舉著實令我詫異，不知他們是否也鼓勵其他機構互評，還是認為自己站在應有的高度，如果還有這樣的能量，不如投注於原本的研究上。

記得兩年前的一次政大區網會議中，主席詢問暑期研討會大家感興趣的議題，華梵的一位組長提到了 IPv6 的應用，並語重心長的說了一句『已經 2005年了』，我能理解他的一些感受，雖然在場幾乎都是技術人員，但大夥想聽的反倒不是技術面，IPv4 的末日恐嚇、IPv6 的美好願景，我們都已經聽的太多。後來政大邀請了中研院來主講『IPv6骨幹網路建置規劃與轉移經驗』，雖然講師貼心的談了不少他們執行的經驗，但似乎與我們的工作、生活還是有些距離，而那位組長也在場次還沒結束時便先行離席了。

或許是 PC 太過廉價，而下一步安裝也太容易，對一般人而言，伺服器這個名詞似乎已不再神秘(或從沒過)，資安事件頻傳，即便是具有象徵意義的網站首頁淪陷，許多受害公司仍不為所動；另一方面，看到不少資安專家們做著吃力不討好的工作，他們縱然閱站無數，但字裡行間仍常感嘆一些企業的回應消極、資安意識薄弱，對於這點我是十分佩服但卻作不來的，可能作資安也是要佛心來的，不像我似乎唯恐天下不亂，當然這主要來自於，我想像的資安是新鮮有趣的，其次是，我認為大部分的 End User 是無法被教育的，這可不僅僅是針對資安，而原因自然也不在於學習力。
 繼續閱讀 »

雖然最近與 Foxy 相關的新聞不斷，但這邊到不是要談 P2P 隱私問題，由於版權因素，不少人曾收過來自軟體公司或某某組織的警告信，第一次聽聞或收到難免人心惶惶，不過久了可能也麻痺了，更幸福者則是看到英文信就直接殺掉的人 XD