廣告中介代理所帶來的安全性隱憂

9/12,台灣 PC Home 旗下的《T客邦》主站及多個同域名的分站均被 StopBadware.org 列入含有惡意程式碼的可疑名單之中。在《T客邦》的網站管理員追查之下,相信是因為他們所使用的 OpenX 廣告系統引入了一些色情網站連結到《T客邦》上,因而整個網站被 StopBadware.org 視為有問題。當瀏覽者使用諸如 Firefox、Google Chrome 等的瀏覽器連上網站時,就會先看到一個全紅色的嚇人頁面,警告使用者不要繼續瀏覽他們的網頁。

以下則是《T客邦》在 Facebook Fan Page 所發出的公告

****

【公告】《T客邦》網站安全警告訊息的原因與處理

by T客邦的臉書基地 on Monday, September 13, 2010 at 2:41pm

昨天(9/12)中午左右,T客邦被列入Google協力的安全檢查機制StopBadware可疑名單,如果用Firefox、Chrome等瀏覽器,連上T客邦和相同網域的打電動、DIGIPHOTO、比比王,會先被紅色警告頁面擋下,當天我們的技術人員已經做了緊急的檢查和處理,排除了可疑的程式碼。

被列入可疑名單的原因,在於T客邦先前採用的 OpenX廣告系統上的安全性漏洞,導致某些廣告版面被當成了連上其他可疑網站的跳板,經過我們的檢查,這些可疑網站只是單純在Google黑名單裡的成人網站,並沒有其他嚴重的攻擊程式或木馬。

為了確保安全,我們已經將T客邦和所有相關網站使用OpenX系統的程式碼、資料庫全數撤下、清空,所以大家暫時不會在T客邦集團網站裡看到廣告版位,未來我們會重新加入自行開發的廣告系統,以便完全排除這次發生的可疑名單問題。

在這個期間瀏覽過T客邦集團網站的使用者請不用擔心,我們仔細檢查了被置入的問題程式碼,只是單純的跳轉指令而已。並不會因為來到T客邦,或是點了某個連結就中毒或遭受攻擊。

另外Google的安全檢查機制會排程檢查各個網站的修復狀況,所以雖然紅色警告畫面還會出現,實際上有問題的廣告版位已經被我們全部移除了,等Google完成檢查,Firefox和Chrome的使用者也可以恢復正常瀏覽,當然我們也會持續觀察網站程式碼的安全狀態。

這次狀況造成T客邦讀者的閱讀不便和安全疑慮,我們感到十分抱歉,事發當天我們曾經建議讀者緊急關閉Firefox安全選項,這樣的處理雖然可以繼續瀏覽網站,但卻有安全上的疑慮,並不是理想的做法,在這裡,請讀者還是將Firefox回復到原本的安全防護設定。在Google檢查通過期間,慣用Firefox的讀者可以先透過IE或Chrome瀏覽器代替。造成大家驚慌,T客邦深感抱歉,再一次跟讀者致上最誠摯的歉意。

▲雖然目前Google的檢查畫面還提示了一些問題,我們已經徹下所有引發問題的程式碼。

▲透過McAfee的SiteAdvisor即時檢查 ,目前已經沒有任何安全問題。

****

雖然《T客邦》確認了他們的網站是安全的,但 Google 還需要一段時間,才會把他們從可疑名單中移除,那就是說將有一段時間《T客邦》仍要背負可疑惡意網站的罪名。

從這件事情我們看到幾件事:

第一,廣告中介人有相當的責任要承擔,而非純粹當一個轉發中心。廣告中介人在收集客戶的廣告時,應有兩件必做的事情,其一是清楚檢查客戶提供的程式碼有沒有可疑之處;其二,將客戶明確分類。檢查客戶提供的程式碼,是必要且負責任的行為,為的是避免把惡意程式碼,甚或只是一些有潛在漏洞的程式碼轉發出去,廣告中介人若不能把好這一關,連累到各客戶的網站被視為惡意網站的時候,肯定要賠上商譽;至於將客戶明確分類,這也是很自然的事情-總不能把一個色情網站的廣告,轉放到一個宗教網站去吧?

第二,使用廣告中介人代理廣告有一定風險。《T客邦》就是因為誤信 OpenX 系統,導致自己的網站被拖累,「榮登」可疑網站之列。使用廣告中介代理其實還有他的好處,一是客源龐大,不必自己聘請營業員抓客戶,二是直接使用中介人的廣告交換系統,不必自己花資源開發,三是中介人的系統往往有比較好的配對結果,更精確地對準潛在客戶打廣告。然而當你的廣告中介人犯了什麼錯誤,如上第一點所說的那樣,那麼你的網站也要蒙受不白之冤,況且大多數人都不明白什麼交換廣告程式碼這些專業知識,只道「啊,這個網站有病毒,會把我的電腦...(下刪一萬種說法)...」,並且每隔一段時間又會有「好心人」把舊截圖 Copy & Paste 出來警告大家小心《T客邦》有病毒云云...這種屈辱真的有夠難受了。所以總括來說,若真的想要省下營業員的費用,就只能挑一間規模比較大,技術比較優的廣告中介人了。

第三,安全瀏覽的重要性。對普通使用者來說,把惡意的東西擋在第一關之外是最好的策略,拜 Google 大神與一眾 Open Source 駭客們的善心所賜,我們前有伺服器端的檢查機制,後有開放原始碼的 Firefox、Google Chrome,兩者協力阻擋惡意程式碼進入我們的電腦(筆者的notebook上同時有IE、Safari、Firefox和Chrome的最新版,就只有後兩者會顯示警告),要不然就真的有可能在這個浩瀚的互聯網世界裡吞下了多少惡意程式碼都不知道了。因此,筆者一直都只愛用 Firefox 與 Chrome 這兩個瀏覽器-當然,每天更新的防毒與防火牆軟件也是非常重要的。

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 變更 )

Twitter picture

You are commenting using your Twitter account. Log Out / 變更 )

Facebook照片

You are commenting using your Facebook account. Log Out / 變更 )

Google+ photo

You are commenting using your Google+ account. Log Out / 變更 )

連結到 %s

%d 位部落客按了讚: