Re: [心得] 如何駭入 Apple, MS 等大公司? (轉)

簡單說只要使用外部的套件 都需要注意

以我自己經驗來說

早期剛開始 FB 出來的時候

YAHOO 也是直接用他們的 JS 登入

後來開始注重安全升級以後 就會強調不可直接引用

必須複製確認 不行的話寧可不用

或是要做特別審核給資安部門

然後遇過比較小心的公司

所有的套件不只不能在線上安裝 都必須RD交由其他單位審核

他們會裝在一個環境做監測 確定一段時間都沒問題 才由獨立部門把套件上傳

才可以發佈到正式環境

現在開源很方便 很多工程師都直接使用套件

有的人只注意到使用的版本號做固定, 但是沒有往下追

可能還有套件安裝的其他套件當基底也會出問題

都是要注意的地方 如果真的要萬無一失 就是這些套件都要 FORK 一份自己公司專用

現在有很多方式可以實現 甚至內建功能都有幫忙注意到

最早 YAHOO 很多套件都像是把別人拿進來 然後改一改加上一個 Y 開頭

保證安全... 然後還要過法務部門審核是否可用

之前發生過很多次有人把 CHROME PLUGIN 買下來後

放了惡意的 CODE 進去

只要用外部的都有風險 所以有些廠商還是會自己開發很難用的功能就是...

我曾經接過一個案子 裡面引用了我自己開發的外部JS

老闆要是不付錢 我就把 JS 關掉, 網站就掛掉...

黑心一點的大概就直接把資料偷走了...

所以資安最大的問題還是人...

當然如果沒什麼機密資料的話 就不用擔心太多了

一般跟錢有關的案子才需要多注意

--
最喜歡的一句話是？
世界和平
最尊敬的人是？
德蕾莎修女
請說一句話。
大家都要幸福喔～

--