廣告中介代理所帶來的安全性隱憂

9/12,台灣 PC Home 旗下的《T客邦》主站及多個同域名的分站均被 StopBadware.org 列入含有惡意程式碼的可疑名單之中。在《T客邦》的網站管理員追查之下,相信是因為他們所使用的 OpenX 廣告系統引入了一些色情網站連結到《T客邦》上,因而整個網站被 StopBadware.org 視為有問題。當瀏覽者使用諸如 Firefox、Google Chrome 等的瀏覽器連上網站時,就會先看到一個全紅色的嚇人頁面,警告使用者不要繼續瀏覽他們的網頁。

以下則是《T客邦》在 Facebook Fan Page 所發出的公告

****

【公告】《T客邦》網站安全警告訊息的原因與處理

by T客邦的臉書基地 on Monday, September 13, 2010 at 2:41pm

昨天(9/12)中午左右,T客邦被列入Google協力的安全檢查機制StopBadware可疑名單,如果用Firefox、Chrome等瀏覽器,連上T客邦和相同網域的打電動、DIGIPHOTO、比比王,會先被紅色警告頁面擋下,當天我們的技術人員已經做了緊急的檢查和處理,排除了可疑的程式碼。

被列入可疑名單的原因,在於T客邦先前採用的 OpenX廣告系統上的安全性漏洞,導致某些廣告版面被當成了連上其他可疑網站的跳板,經過我們的檢查,這些可疑網站只是單純在Google黑名單裡的成人網站,並沒有其他嚴重的攻擊程式或木馬。

為了確保安全,我們已經將T客邦和所有相關網站使用OpenX系統的程式碼、資料庫全數撤下、清空,所以大家暫時不會在T客邦集團網站裡看到廣告版位,未來我們會重新加入自行開發的廣告系統,以便完全排除這次發生的可疑名單問題。

在這個期間瀏覽過T客邦集團網站的使用者請不用擔心,我們仔細檢查了被置入的問題程式碼,只是單純的跳轉指令而已。並不會因為來到T客邦,或是點了某個連結就中毒或遭受攻擊。

另外Google的安全檢查機制會排程檢查各個網站的修復狀況,所以雖然紅色警告畫面還會出現,實際上有問題的廣告版位已經被我們全部移除了,等Google完成檢查,Firefox和Chrome的使用者也可以恢復正常瀏覽,當然我們也會持續觀察網站程式碼的安全狀態。

這次狀況造成T客邦讀者的閱讀不便和安全疑慮,我們感到十分抱歉,事發當天我們曾經建議讀者緊急關閉Firefox安全選項,這樣的處理雖然可以繼續瀏覽網站,但卻有安全上的疑慮,並不是理想的做法,在這裡,請讀者還是將Firefox回復到原本的安全防護設定。在Google檢查通過期間,慣用Firefox的讀者可以先透過IE或Chrome瀏覽器代替。造成大家驚慌,T客邦深感抱歉,再一次跟讀者致上最誠摯的歉意。

▲雖然目前Google的檢查畫面還提示了一些問題,我們已經徹下所有引發問題的程式碼。

▲透過McAfee的SiteAdvisor即時檢查 ,目前已經沒有任何安全問題。

****

雖然《T客邦》確認了他們的網站是安全的,但 Google 還需要一段時間,才會把他們從可疑名單中移除,那就是說將有一段時間《T客邦》仍要背負可疑惡意網站的罪名。

從這件事情我們看到幾件事:

第一,廣告中介人有相當的責任要承擔,而非純粹當一個轉發中心。廣告中介人在收集客戶的廣告時,應有兩件必做的事情,其一是清楚檢查客戶提供的程式碼有沒有可疑之處;其二,將客戶明確分類。檢查客戶提供的程式碼,是必要且負責任的行為,為的是避免把惡意程式碼,甚或只是一些有潛在漏洞的程式碼轉發出去,廣告中介人若不能把好這一關,連累到各客戶的網站被視為惡意網站的時候,肯定要賠上商譽;至於將客戶明確分類,這也是很自然的事情-總不能把一個色情網站的廣告,轉放到一個宗教網站去吧?

第二,使用廣告中介人代理廣告有一定風險。《T客邦》就是因為誤信 OpenX 系統,導致自己的網站被拖累,「榮登」可疑網站之列。使用廣告中介代理其實還有他的好處,一是客源龐大,不必自己聘請營業員抓客戶,二是直接使用中介人的廣告交換系統,不必自己花資源開發,三是中介人的系統往往有比較好的配對結果,更精確地對準潛在客戶打廣告。然而當你的廣告中介人犯了什麼錯誤,如上第一點所說的那樣,那麼你的網站也要蒙受不白之冤,況且大多數人都不明白什麼交換廣告程式碼這些專業知識,只道「啊,這個網站有病毒,會把我的電腦...(下刪一萬種說法)...」,並且每隔一段時間又會有「好心人」把舊截圖 Copy & Paste 出來警告大家小心《T客邦》有病毒云云...這種屈辱真的有夠難受了。所以總括來說,若真的想要省下營業員的費用,就只能挑一間規模比較大,技術比較優的廣告中介人了。

第三,安全瀏覽的重要性。對普通使用者來說,把惡意的東西擋在第一關之外是最好的策略,拜 Google 大神與一眾 Open Source 駭客們的善心所賜,我們前有伺服器端的檢查機制,後有開放原始碼的 Firefox、Google Chrome,兩者協力阻擋惡意程式碼進入我們的電腦(筆者的notebook上同時有IE、Safari、Firefox和Chrome的最新版,就只有後兩者會顯示警告),要不然就真的有可能在這個浩瀚的互聯網世界裡吞下了多少惡意程式碼都不知道了。因此,筆者一直都只愛用 Firefox 與 Chrome 這兩個瀏覽器-當然,每天更新的防毒與防火牆軟件也是非常重要的。

廣告

香港公眾假期日曆

身為一位重度 Google 使用者,把自己所有 Schedule 通通丟到 Google Calendar 是很合理的。Google Calendar 的功能我一直都覺得還可以,只是它的"趣味日曆"中那個"假日"日曆好像一直都是空白的,所以我得靠自己去把政府刊憲的公眾假期逐個打進自己的 Calendar 裡去,年年如是。然而既然都打了一次,為什麼不索性把它分享給大家?於是今年開始我自己註冊了一個新的 Google 帳戶,並且把香港公眾假期都存了進去,然後公開給全世界,希望能幫到有需要的朋友吧!

首先是這個公眾假期日曆的下載位置:

Hong Kong Public Holiday (English)
http://www.google.com/calendar/ical/pmv0d6i7l8tqoao69q1l8dndv4%40group.calendar.google.com/public/basic.ics
Remarks: For 2010-2011

香港公眾假期(繁體中文)
http://www.google.com/calendar/ical/j9aao39h2pemue7o2g4p3nj8t4%40group.calendar.google.com/public/basic.ics
備註:2010-2011年度

如果有留意到檔尾,沒錯這是一個 iCal 格式的檔案,所以下載了這個日曆就可以匯入諸如 M$ Outlook / Thunderbird 之類的軟件之中( iPhone也接受 iCal 檔吧?他們的東西我不是太清楚)。不過像我這樣的 Googler,當然犯不著那麼麻煩。其實只要按下面的步驟,就可以自動新增公眾假期日曆到你自己的 Calendar 裡去,如果你用的是 Android 手機,那麼公眾假期日曆也會同步到你的手機去。很方便吧!而且-重點來了,就是它懂得自動更新喔!只要有一天小弟還活著,每年都按時輸入下一年度的公眾假期(以政府刊憲後為準),那麼新的公眾假期資訊就會傳送到你的 Calendar 裡去。感謝我吧! XP

在你自己的 Google Calendar 加入香港公眾假期日曆的方法:

  1. 登入你的 Google 帳戶並移玉步到 Google Calendar

    登入 Google Calendar

  2. 在左邊欄位下方的"其他日曆"處,按下"新增",選擇"輸入網址以新增"

    按"輸入網址以新增"

  3. 此時會有一個對話匣顯現出來,在中間的 URL 位址,填入上面中文或英文網址( Copy & Paste 哦!你不會真的逐個字輸入吧...),中間"你要公開日曆嗎?"這個選項不用打勾。然後按下"新增日曆"。

    貼上中文或英文版的香港公眾假期日曆的網址。 "你要公開日曆嗎?"一欄請留空

  4. 等一會(數秒吧),如果新增成功,那麼就會出現如下圖的樣子。你可以看到,"香港公眾假期日曆(繁體中文)"已經出現在"其他日曆"裡,而接下來兩個公眾假期(中秋和國慶)也會以紅色顯示在你的 Calendar 裡去了!

    新增"公眾假期日曆"成功!

好了,現在各位應該能夠使用到這個日曆了吧!請慢用~ =]