● 网管疲于奔命查漏补缺黑客利用Google紧追不舍 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: michaelx (水并不是这样灌的), 信区: Security
标题: 网管疲于奔命查漏补缺黑客利用Google紧追不舍
发信站: 荔园晨风BBS站 (Thu Nov 29 09:21:34 2001), 转信

网管疲于奔命查漏补缺黑客利用Google紧追不舍
发布日期: 2001-11-27
新浪科技
　　现在，网络搜索引擎的用户们开始越来越多地把注意力集中在搜索密码、信用卡号
码、机密文档甚至计算机漏洞这些让人敏感的数据，而这些数据很容易被黑客利用。
　　这个问题并不是现在才出现的，安全专家说：“几年前从搜索引擎开始为网页作索
引的时候，网站管理人员就已经在搜索结果里发现一些不太适合为公众所知的网页。
　　越来越方便的Google
　　前不久，著名的搜索引擎Google新增加了一个功能，除了搜索网页文档以外，还可
以查找其他各种类型的文件，而这些文件在以前的Google基本搜索中都无法查找，现在
即使一般用户或者初级黑客也只需要简单的几步操作就可以完成。
　　新的可搜索的文件类型包括Adobe PostScript、Lotus 1-2-3和WordPro、MacWrite
、Microsoft Excel、PowerPoint、Word和Rich Text Format(RTF格式)。
　　“总的来说，现在问题比以前严重多了，如果在AltaVista搜索引擎中输入passwor
d，最多可以出现几百个密码文件，”一位知名安全专家说，“像Google这类的搜索引擎
一旦增加了这样的功能，黑客们就有更多的可以追踪的对象了。”
　　自从Google推出这个新功能以后，心有余悸的网管们就开始忙着或者消除一些可以
被Google搜索发现的敏感的网页，或者加强防护。
　　而Google则否认自己应该对这个安全隐患负责，但是同时，公司也开始研究一种方
法，能够在这些敏感网页作为搜索结果提交给用户之前先捕获它们。
　　“作为搜索引擎，我们的工作就是寻找、过滤和索引一些对于公众有用的信息，”
Google的发言人说，“而我们认为公众信息就是指能够在Internet这样的公众场出现而
不需要被搜索引擎以任何方式屏蔽的信息，问题在于有人以错误的方式暴露了这些信息
。同时，我们也已经意识到这个问题，开发部门也正在研究相应的解决方法。”
　　病毒的威胁
　　除了给黑客们搜索敏感数据和攻击对象提供一个便利的工具，Google的按文件类型
搜索功能使得搜索也更加不安全，因为单击文件类型连接比浏览网页更容易感染病毒和
恶意代码。
　　“在这个新功能推出的时候，我考虑最多的也是安全问题。”一位业内人士说，“
扩大搜索范围是好事，但是当他们单击一个连接的时候并没有认识到这样足以把自己暴
露在病毒面前。这在以前的搜索引擎中我们没有遇到过，因为HTML文件相对来说安全得
多。”虽然一些开发中会用到JavaScript。
　　Google的用户如果害怕感染病毒，可以用“View HTML”方式浏览非HTML文件类型，
不过这个选项会产生一些无用的针对Microsoft's Word和Excel的恶意代码。
　　搜索引擎并非没有经历过不受欢迎的尴尬，网站管理者只需要在他们的网页上加入
一个简单的“robots.txt”就可以“谢绝”加入索引。而Google也给网管们保留了一个
网站，提供一些选项缩减或者关闭搜索。但是这些选项也存在漏洞，例如“要求搜索引
擎不索引网页”的选项并没有设置为外界无法修改，robots.txt文件只能关闭某一些引
擎，给不怀好意的人大开后门。另外，robots.txt使用的签名方式也是“此地无银三百
两”，等于给黑客们打一个告示，说明其中有重要或者敏感的信息。
　　安全专家认为使用搜索引擎不好的方面主要有两个：一个是暴露敏感和缺乏保护的
重要数据，例如密码、信用卡号码；另一个是使用搜索引擎搜索网站运行的程序，例如
CGI，它的弱点是显而易见的。
　　黑客的可乘之机
　　当然，专家们也说，即使没有Google这个功能，黑客们仍然有办法在网络中搜索他
们需要的东西，最近出现的一些Internet蠕虫如Code Red、Nimda说明这种大量的自动的
黑客行为已经不需要搜索引擎来寻找存在漏洞的计算机了。
　　入侵者有他们自己的搜索引擎，可以绕过“禁用引擎”的设置，仍然可以找到那些
带有密码的敏感文档和存在漏洞的CGI程序，而且如果网站使用了robots.txt，就等于告
诉大家其中是敏感数据，所以才要求不要加入到索引中。
　　对于这个问题，网管们认为有针对性的预防措施是最关键的。在他们设计网站的时
候就应该知道怎样保护自己，Standard Apache Password Protection可以解决绝大多数
由于搜索引擎带来的问题，搜索引擎不能破解它。还有，它使用标准的HTTP/1.0 Basic
Authentication，通过保存在MySQL Database的口令来检查用户。
　　但是仍然有人认为Google应该对这个事情受到批评。他们认为Google只考虑到这个
功能对于用户将多么有用，但是忽略了安全。如果他们认为这个功能应该提供，就必须
从最开始就考虑如果有人捣乱安全问题该怎么解决。(秋秋编译)

--
M.X的FTP SERVER
ftp://192.168.55.18

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.55.18]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店