Random Notes

Best Practice

今天一早來就跟同事討論我的 Hex 編碼的 SQL Injection， 他們都對這樣的模式感到很新奇，也會有點感嘆，由於公司已經有非常多的 Package、Rule、Guideline 了， 所以他們沒有機會、也不允許碰到這樣的錯誤。反而把我的範例當做是 Live Security Demo。 對公司來說，有累積的 Best Practice 毫無疑問是件好事。 但如何讓這樣失敗的經驗也應該要有發現、實作的機會。

無名禁用 JavaScript

無名小站的 JavaScript 小玩意，去年把這些東西全都丟到不同網域 Iframe 中，以防止惡意程式碼盜取或竄改 Yahoo! 及使用者的資料或頁面，釀成一波出走潮。昨天更進一步，將白名單外的通通禁止掉，想當然會招來超多的民怨。 但從 Security 的角度來看，最近的 Clickjacking，這樣惡意的程式碼會讓你的 WebCam 將自動被開啟。 另外 Iframe 雖然擋掉了惡意程式碼試圖取得或竄改在無名的資料，但並無法保證 User 自身電腦的安全， 惡意的 User 仍然可以植入有問題的 script 造成損害。 如果有其他 User 因而中獎，責任歸屬會是在誰身上？ 就算沒對使用者造成傷害，防毒軟體在頁面上跳出來說偵測到病毒，對網站的名譽也是很大的傷害。 Legal、Usability、Security 的多方面掙扎，顯然只能犧牲掉 Usability。 但它卻又讓 User 有更高的安全性，此措施是好是壞？目前似乎只能期待像是 ADSafe 或 Caja 等技術被 Implement 上去，此問題才會有解。

Open Strategy

最近工程部門一直在主打 Open Strategy，在開放的技術面上有很大的突破。 但營運部門又是怎麼想的呢？下班時碰到一個頻道的 Producer，聊到了此話題。 他覺得現況像是首頁的版面寸土寸金，要像藍圖中挖任出很多區塊讓開發者應用， 將對現有的營收及業務模式有很大的影響，只能說還有很長的路要走、並採取保守及觀望的態度。 似乎兩邊都必須做一些 compromise，才有可能不流於說嘴。