【旗標技術通訊電子報】第75期 2000.9.22 最近 TVBS 重播金庸的武俠劇, 劇中最普遍的<隔空取物>的小技倆, 大家 一定都很眼熟, 但是現實中想要練就此番功夫, 只有依賴--遠程遙控軟體 下週本報將為讀者介紹 pcAnywhere 據說是遠程遙控軟體的佼佼者喔!! 請拭目以待 本期訊息 ================================================================ ※本期書摘:WAP 的安全問題 ※下期書摘:pcAnywhere 簡介 ================================================================ ※本週新書: PCDIY 2001 電腦選購.組裝.維護 施威銘研究室著 450 元 PCDIY pcAnywhere 玩家實戰 施威銘研究室著 250 元 PCDIY 2001 BIOS 玩家實戰 施威銘研究室著 450 元 Windows 2000 程式設計實務 黃禎福.陳永昱譯 760 元 Cisco Routers for IP Routing--路由器技術研究 恆易.鄭浩陽譯 450 元 輕鬆學會 Javascript 邱芳信 著 390 元 **************************************************************** ※本期書摘:WAP 的安全問題 **************************************************************** 從 1999 年到 2000 年第一季結束之前,所有想要開發 WAP 應用程式 的廠商幾乎都清一色的以金融應用作為第一波的對象。當然,會造成這 種現象,行動電話費率的高居不下絕對是一個重要的原因,因為費率高 ,所以會想使用這種服務的人絕對是希望能從該服務裡取得更豐厚的利 潤,因此銀行服務、證券業下單等會吸引人們即時取得的資訊就成了開 發 WAP 應用業者的第一個目標。 但是在這個應用中,也同時暴露出了一個極為嚴重的問題:WAP 可以用 來傳輸敏感的資料嗎?像是金融卡的密碼、或是信用卡號?理論上是可以 的,在前面所介紹過的 WAP 架構中,不就提供了一個保護資料用的 WTLS嗎?所以資料在上面傳輸理應是安全無虞的吧。 所有WAP的協定規範都在處理由無線手機與無線通訊協定到 WAP Gateway 之間的資料傳輸過程,換句話說,在 WAP 協定中所定義的 WTLS 也僅只 保護在這個階段的傳輸,而由 WAP Gateway 進入了網際網路使用 HTTP 之後這一段資料傳輸的部分完全要依賴 WAP Gateway 跟 WAP 伺服器的 保護了。 但在網際網路端的傳輸保護問題上並不是完全沒有希望的,在 2000年第 二季,已經有幾個軟體廠商開始著手動腦筋要讓 WAP Gateway 與 WAP Server之間在連線時透過 HTTP 協定中原先就已經定義好的 SSL 或是安 全等級更上一層的 TLS 來連線。如果這個軟體真的成功的開發出來,相 信絕對是 WAP Gateway 這個軟體功能的一大提昇。 屆時,無線部分由 WTLS 來保護,有線部分由 SSL 或是 TLS 來保護,應 該可以解決在資料通訊安全上面的問題了。的確是這樣的,不過在這種 解決方案中還留下了最後一個弱點,就是 WAP Gateway 這個軟體以及執 行這個軟體的電腦。 因為在整個資料傳輸過程中,所有的安全機制都繫於 WAP Gateway 這個軟 體上,每個手機都要經過 WAP Gateway 的處理才能與 Server 端連線,也 得由 WAP Gateway 將回傳的資料作過編譯才能傳給手機,於是在整個資料 傳輸的過程中,所有加密的資料都得在這個 WAP Gateway 將之解密,再去 做編譯或加密傳遞的程序。 因此不論在傳遞過程中以多麼嚴密的協定,多麼完美的流程傳遞,WAP Gateway 始終都將是最大的漏洞。所有的密碼、信用卡號都將在提供 WAP Gateway 服務的這部電腦裡赤裸裸的在記憶體中出出入入的。如果有任何一 個劊客(cracker) 破解系統保護,勇闖這部電腦時,一切資料都將被玩弄在 股掌之中。 不過,要提供 WAP Gateway 服務的業者一定會對該部電腦做好層層的嚴密 保護,可能設定了多層的防火牆,還有許多的人工保護,說不定就像電影 Mission Impossible裡面那個匪夷所思的電腦中心保護主機那麼嚴密。 但就算那樣也還是不夠的,在資訊安全學界中有個著名的概念:一個協定 或加密方法安全,絕對是不夠的,一定要幾乎所有的人都使用它,才是所 有人全體的安全。因為開發 WAP Gateway 的廠商並不是只有一個,如果 某些廠商的 WAP Gateway 有這種在 HTTP 通訊提供安全連線的功能,而有 些沒有,那市面上的情形就會非常混亂。假設亞洲地區有 10 萬個 WAP Gateway,其中的 90% 能提供 SSL 的連線,但是其餘的 10%,也就是還有 一萬個 WAP Gateway 並沒有提供安全連線的服務,一旦人們使用到不安全 的 WAP Gateway 作敏感資料的輸送,絕對就是一個很嚴重的漏洞。 因此 WAP 的安全性目前還沒有到可以直接提供較高安全度傳輸的程度,但 也並非這樣就完全不能提供服務,還是有許多種在程序上思考出可以保護 敏感資料的方法。像是 HTTP 上面的 SSL,就採用了每 5 分鐘重新更換一 次保密金鑰程序的做法,將每一個金鑰被破解的風險保留在 5 分鐘之內, 假設劊客想使用蠻幹的方式破解 SSL,那麼每 5 分鐘它就得重複原來的程 序一次,但它的破解程序也未必能在 5 分鐘內破解加密的技術。 在 WAP 上也是這樣,假設我們想要使用 WAP 作為網路購物支付的工具,也 可以在使用前讓消費者先申請會員,下載密碼,最後確認時卻不要使用者輸 入密碼,而產生一個單一的序號讓使用者在該筆資料確認的一兩分鐘內確認 ,這樣也可以達到要求確認的效果。 現有的 WAP 危機 在全世界,所有的區域、國家中,行動電話跟網際網路的使用者比例大多維 持在 3:1 的比例。因此,不論在哪個區域,WAP 的前景都是可期的,但目前 在台灣地區以及許多地區的 WAP 都是由電信業者主導推動的。 但這些電信業者在提供 WAP 服務的時候,常將 WAP 服務當成舊有的電信服 務模式思考,將 WAP Gateway 所能連線的 WAP Server 都限制在自己的區域 網路中,不能連線到外面的網際網路,於是所有的使用者就被切割成每一個 電信業者所擁有的財源。這樣的思考方式,雖然可以讓 WAP 在提供比較敏感 的服務時擁有稍高的安全性(都不讓其他人連進該網路自然比較安全。資訊安 全界有句笑話是這麼說的,要防止網路上的劊客入侵的最好方法就是把網路線 拔掉,如果還不夠安心的話,可以連電源也一起拔掉),不過電信業者將全部 的 WAP 使用者切割的零零碎碎的,最終對 WAP 的推廣絕對是沒有正面幫助的 。 WAP 的前景將會建立在所有行動電話用戶對於 WAP 與網路的興趣上,當然, 實際上提供 WAP 服務的進入門檻極低,技術也都不難,但是如果在整體使用 人數上無法增加的話,電信業者對 WAP 的信心就會降低,屆時 WAP 沒落的 可能性也非常的高,畢竟在科技界眾人看好而後消失的情形也不是沒有發生過 ,像是 SET、SEPP 等。期望 WAP 的遠景和 WWW 一樣燦爛,甚至成為無線網 際網路的叩門石,帶領所有使用行動電話的人步入無線網際網路時代。 ****************************************************************** 以上內容摘自『征服 WAP--無線網頁製作實務』 李驥‧張子仁 著 書號:F8526 定價:250元 ****************************************************************** 想索取前幾期的電子報內容請至旗標網站下載 http://www.flag.com.tw/url/ 本電子報內容未經授權請勿轉載 版權所有人:旗標出版股份有限公司 好書能增進知識、提高學習效率 卓越的品質是旗標的信念與堅持 http://www.flag.com.tw ═<易達網電子報發報中心>═══════════════════ ˙欲訂閱或取消易達網電子報: http://www.edirect168.com/enewsv2/ ˙收報、退報有問題,請洽易達網客服信箱: mailto:cs@service.edirect168.com ˙歡迎申請易達網免費電子信箱: http://www.edirect168.com ˙易達網電子報發報中心: mailto:news@service.edirect168.com ˙您想要登廣告: http://www.edirect168.com/html/ad.htm ˙本電子報文章與其相關連結由電子報報主提供,易達網負責發送。 ════════════════ 作自己的媒體,唱自己的歌 ══ |