【翻牆問答】Chrome擴充功能主動通報密碼外洩應即處理

2019-02-08
電郵
評論
Share
打印

問︰翻牆問答之前介紹過,Firefox有功能可以讓你查詢一個資料庫,看看你的帳戶是否曾經有密碼外洩的情況。但谷歌現於Chrome提供的擴充功能,似乎更加厲害,能否對聽眾介紹一下。

李建軍︰這次谷歌在Chrome推出一個與史坦福大學合作的擴充功能,這項擴充功能叫Password Checkup,只要在擴充功能商店找Password Checkup,就可以很容易安裝到你的Chrome瀏覽器之上。

一旦你在Chrome上登入帳戶,Password Checkup會立即與中央資料庫,核對他們有的帳戶外洩紀錄。如果出現過密碼外洩,與中央資料庫紀錄相脗合的情況,Chrome的擴充功能會主動通報,提醒你更改密碼以策安全,或者將相關帳戶或信用卡取消。這項功能由於是主動通報,所以不用定時定候檢查一下自己的帳戶有否密碼外洩,因為一旦出現外洩的情況,並且在中央資料庫上出現,就會主動通報你。

當然,當擴充功能通報你相關問題時,很可能你的密碼已經洩漏了幾個月,所以你必須在收到通報後立即採取行動,最低限度是改密碼,但如果涉及信用卡資料洩漏,你最好查看過去半年的信用卡有否可疑交易,然後盡快向銀行要求改信用卡,或取消信用卡。

問︰中國的黑客近年在入侵不同主機上,都無所不用其極,對於一些可能自建翻牆主機,或在海外建立博客的聽眾,有些中國的開源項目或程式庫,可能十分危險,甚至有如在自己的主機上加上「後門」都不自知。

李建軍︰雖然中國主導的開源項目不多,但個別開源項目管理不當,變成病毒和黑客溫床,都足以為很多人造成困擾。以中國用戶主導的Thinkphp項目為例,由於當中的漏洞被黑客發展成Speakup的木馬程式,這個程式不單濫用受感染的主機作挖礦之用,而且由於設計複雜,難以偵測,所以這個漏洞會變成被人用於偷資料,甚至更恐怖的用途之上。對於一般黑客,他們很可能滿足於能挖礦,但對於受當局控制的黑客,他們不單要挖礦,更可能另有目標和任務。

因此,在選擇開源項目上,不要使用一些過於集中中國開發者的開源項目,一方面,內裡的人馬兵賊難分;另一方面,中國程式編寫員一些壞習慣,亦是一些病毒或木馬的元兇,這些壞習慣影響下寫的程式碼,在西方國家編寫員為主導的項目,很快會被其他國家的參與者修改,但在中國人為主的項目,就很大機會大家都視而不見,甚至有部分人故意保留相關漏洞,最終演變成大規模感染。而這些感染,不單影響中國的主機,亦會影響南美洲的主機,隨著中國在一帶一路國家的積極參與,相信一帶一路沿線國家的主機,都會或多或少受到類似問題所影響。

開源項目,是肯定比起只靠個別公司所支撐的項目安全,而開源項目參與者必須來自不同國家,而且必須活躍的參與人數十分多,才能稱得上安全可靠。而Thinkphp變成了一個麻煩的病毒溫床,某程度提醒聽眾,只有真正國際化的開源項目,才會是安全可靠的保證,開放源碼本身都要良好的人和環境去實現。

Edge及Safari用戶可直接點擊收聽
其他瀏覽器用戶請點此下載播放插件

完整网站