无名将禁加 javascript　小工具使用受限
文/赵郁竹 2008-03-27

使用者将不能再修改或新增javascript，而影音外连语法的部分也限制只有在正面表列名单上的网站才能够嵌入至无名。

无名小站将自下周（3/31）开始修改使用html语法的规则。使用者将不能再修改或新增javascript，而影音外连语法的部分也限制只有在正面表列名单上的网站才能够嵌入至无名。

这也意谓着，无名藉此加强网站安全的同时，以往使用者可在部落格中嵌入的小贴纸、时钟等小工具（Gadget），在无名限制javascript后就无法新增或修改。若是要嵌入外部的影音内容，也必须是无名核可的网站，否则无法外连。

Yahoo!奇摩公关经理吴苑如表示，这两项限制都是基于安全性考量，javascript可能成为有心人士用来植入病毒、木马程式的管道，导致浏览者电脑受到安全性攻击甚至帐号遭窃。因此才打算限制使用者往后不能再新增javascript，如此等于阻断了骇客透过javascript威胁使用者安全的途径。

不过，只要在3/31前加入的javascript皆可保留，但不得修改也不得新增，若是新增或修改就会启动系统检查，一但启动系统检查，任何形式的 javascript都会被移除。不过以javascript呈现的Google AdSense则不受影响，使用者可将AdSense加入到网志描述和侧边的连结管理，而在这两个地方内的语法不受影响。不过一般使用者以 javascript撰写的小程式如时钟等等就无法新增。

而嵌入外连网站的语法也有限制，只有在正面表列名单上的网站才能通过。目前无名列出约40多个网站，知名影音平台如YouTube、Yam、Xuite都在其列。吴苑如表示，一般常用大站都已被列入白名单，若是使用者还有想要外连的网站，却不在名单上，可以直接写信向无名建议，在通过安全性检查后会尽快列入白名单，避免有心人士刻意外连恶意网站。

消极做法

从安全厂商这两年发表的资安报告可看出，网路攻击（web threat）已成趋势，透过网页进行的攻击手法越来越多，因此无名的做法的确有其考量。趋势科技资深技术顾问戴燊也指出，透过javascript植入恶意程式是相当普遍被使用的手法。

不过他认为，直接禁用javascript是消极做法，应可利用其他平台防范技术来阻止恶意程式进入，例如在使用者张贴物件之前先扫描，确定该物件是安全的再张贴、上传。「直接禁用javascript可能要承担使用者出走的风险。」戴燊认为。在bbs站PTT实业坊部落格版上，也有代号为 cuteterisa的网友直言：「无名又要引起另一波出走潮。」

这是由于使用者自行撰写javascript，通常是为了在部落格中增加进阶功能，如贴纸、小时钟等小工具（Gadget），都是透过javascript加到平台上。因此禁用javascript固然可强化平台安全，不过也限制了进阶使用者可以发挥的空间。

因此公告贴出三天以来，无名讨论区中也出现了一些使用者反弹声浪，大都不满无名限制重重，相当不方便。由于无名原本就只开放金卡Vip会员可以加入javascript，因此功能面的影响范围以进阶使用者为主，但可保障所有浏览者的安全性。

不过其他业者有不同做法，痞客帮（Pixnet）技术长曾皇霖指出，Google的blogger和Pixnet对于javascript都没有限制，而是以其他方式加强安全性，例如多一道认证码机制，或是备份功能。但戴燊指出，这种做法只能防止文章被盗删或是盗用帐号，但对于恶意程式入侵没有太大帮助。

也有业者采用和无名相同做法，如wordpress也是完全限制javascript。

吴苑如强调，虽然此举会带给使用者小小不便，不过无名以安全性为第一优先考量。若是之后有其他方法可以不用限制javascript也能保障安全性，无名也乐意接受。

资料来源：iThome online
原文出处：http://www.ithome.com.tw/itadm/article.php?c=48197

嗯嗯！
为了安全考量！
小小的不方便总比被看透好！