學者研究：美國76%金融網站含有設計漏洞

設計漏洞通常出現在網站設計階段，例如如何提供安全功能等，不像網頁漏洞是可修補的。



一份由密西根大學針對美國214家金融機構網站所進行的調查發現，有76%至少含有一個設計漏洞。

所謂的設計漏洞不同於傳統的軟體漏洞，可透過修補程式更新。設計漏洞通常出現在網站設計階段，例如如何提供安全功能等。該項研究是在2006年11、12月間所進行。

該研究歸類了五種設計漏洞，例如有些網站在將使用者轉到擁有不同網域名稱的新網頁時沒有提醒使用者，這讓使用者無從知道這個新網頁是否值得信賴；有些網站會在要求使用者登入時從一個非安全網頁轉到安全網頁，這讓駭客有機可趁，因為駭客可以修改非安全網頁，把登入網頁轉到不安全的網頁上。

有些網站則將安全建議或是連絡資訊張貼在非安全的網頁上，駭客通常能夠偽造這些不安全的網頁並提供不同的建議以及連絡資訊；有些網站所採用的使用者個人資訊政策不夠完善，例如允許使用者設定短密碼或是用電子郵件帳號作為使用帳號；該研究也認為金融機構利用電子郵件傳送密碼是危險的，因為不是很多使用者都有安全電子郵件。

調查發現，有47%的網站在不安全的網頁上提供登入功能，有55%的連絡人及其他企業資訊是刊登在不安全的網頁上，有31%的網站允許使用者設定電子郵件帳號為使用帳號，只有24%的網站完全沒有上述設計漏洞。

報告指出，傳統上並不認為FAQ或是連絡方式等資訊是必須受保護的，但在社交工程技術竄起後，這些資訊可能被駭客利用來欺詐使用者，因此金融網站應該將相關資訊張貼在安全網頁上。

至於如何辨識安全網頁及非安全網頁，最簡單的方式就是在網址列上若出現https://，有一個s便表示這是受到加密保護的網頁，若是單純的http://則否。

該研究建議金融網站應該更謹慎地設計網頁安全模式，以保護日益增加的網路銀行用戶。根據Pew Internet的估計，有42%的網路使用者會使用網路銀行服務。（編譯/陳曉莉）