黃紹麟先生在互聯網界相當有名,在兩岸的大網站擔當要職,早於 1998 年就自行架設數位之牆網,探討互聯網與新科技的趨勢。最近的一篇文章 <數位之牆的十一年浩劫> 談到其自設網站的問題,很值得中小型網站參考。
流量與資源佔用
文中首先提到因其網站佔用網存的資源太多而要搬站,對一般香港網站來說,這情況發生的機會不太相關,因為香港網站一般面向的對象數目都很少,不像國內或者美國網站面對以億計的網民。除非你的網站以論壇為主,就會有佔用資源過多的可能。但有一點要留意,香港某些網存的流量限制實在太少 (5G-10G),如果你用了上述網存,便要經常留意使用量,以免支付過大的網存費用。
漏洞成因
文中提到的另一個問題,是其網站遭到駭客植入木馬,需要把網站系統重寫,為什麼網站會被駭呢?簡單來說有三個層面,第一是伺服器操作系統和網頁伺服器的漏洞,第二是建網系統的漏洞,第三是人為問題,例如把密碼設計得太簡單, 或者管理員自己的電腦被駭,因而令網站密碼外洩。
第一個層面對中小網站來說能夠控制的不多,因這些網站都是使用網存服務,唯一能做的,就是找一間可信賴的網存公司。幸好一般來說,網存公司都很注意保安問題,反而一些自架伺服器的公司更操心大意。原因不難理解,因一些自架伺服器公司的員工除了網站外有其他工作要擔當,未必可以立即修補漏洞。
駭客有專用工具, 並非研究編碼
其實現時最流行的 SQL Injection 和跨站指令碼攻擊 XSS,是針對建網系統的漏洞。有些人,特別是非技術人員以為,自己的系統內碼不公開,為什麼要怕被駭呢?這是一個錯誤的想法。當然研究系統的程式編碼,是可以找出系統有沒有漏洞而加以利用,但這並非必要的。駭客有其專用工具,包括專門的瀏覽器模擬某一狀態,cookie 閱讀分析工具,密碼破解工具,IP 封包分析工具,SQL Injection/XSS 專用工具等等,徹底研究一個網站是否有漏洞可以利用。
駭客工具易用亦易取得
以往要當駭客需要有很高的技術,甚至要加入到這小圈子才取得工具。但時至今日,這些都變得很客易,大家只要在售買簡體字電腦書店花 10 多元買一本談駭客技術的雜誌,便可獲得數十個工具。而這些工具的易用程度,和一般軟件差不多,早前香港有一個中學生駭入學校網站,其實真的沒有什麼技術可言,只是懂得使用一些現有的工具吧了。這些雜誌更有木馬製作工具,可以 DIY 一隻獨一無異的本馬,以避過防毒軟件的封殺。
專屬系統維護困難又昂貴
最有效的預防方法,當然是不段留意新技術的發展,及時修補系統漏洞。可是很多客戶對這一方面的認知較低,常常以為找人寫了一個系統,不要求新功能又沒有 bugs 便不願花錢花時間更新。為什麼專屬系統維護困難呢?原因是這類系統文檔 (如果有) 都寫得太簡單,除非你找到原作者,否則另找人維護一定要花上很多時間研究,而因專屬系統使用者數目不多 (很多時只有一個機構吧),費用要全數負責。
如果因此而不更新系統,結果就如數位之牆網站一樣,當其網站的流量不俗,引起駭客垂涎,千方面計也要植入木馬令瀏覽者中招。
公開技術更有效更便宜
黃氏的結論說 “現在的環境卻要求著自行架站者必須懂得更多了”,這一點我不同意。在十多年前,建一個由系統管理的網站,不錯是系統每一行內碼都是要自行編寫。如果在今天要由全新建立一個系統,全面顧及效能、安全、商業原則,使用者習慣等等要求的技術極高,但現在編程和建站的方式已大大不同了。
今時今日有很多專門針對某一功能的建站系統,可供用家使用。而就算是自行編寫,方法也有很大變化。例如 asp 已更新到 asp.net,java 和 php 用家則可使用不同 framework,令編寫系統時可以把一些最基本的問題交給 framework 去解決。當有漏洞時,這些系統和 framework 都可更快地作出修補,只要你依照指示更新你的系統便成,一般來說不會影響你自行編寫的部分。
當然建站系統和使用 framework 寫出來的系統也要有人來維護,但只要相關文檔做得好,技術人員修改便容易得多,不必單單依靠系統的原作者,也更便宜。
客戶購買和選用任何系統時,一定要問清楚其背後使用的技術,而使用公開技術的系統,對日後的發展和維護都較有利。
留言
寫下留言