(http://www.iloveguava.com)
【大紀元7月19日訊】Yahoo的免費電子郵件看mocha(摩卡咖啡)不順眼﹖沒錯﹐Yahoo Mail的用戶若在電子郵件中使用“mocha”字眼﹐寄出後mocha竟會神秘地變成espresso。
這是Yahoo為了避免用戶遭到不良程序的入侵所採用的一套自動過濾軟件﹐會將一些與JavaScript有關的字眼替換掉。
ZDNet China7月18日消息,之所以有如此作法的原因是使用HTML語法(Web-enhanced)所寄送的email可加入JavaScript指令﹐並直接在收信端的計算機上執行程序﹐例如JavaScript語言可下令瀏覽器開啟新窗口﹐或提示用戶該改密碼等…
Mocha即是這類可在網頁版電子郵件上執行的特殊指令之一﹐讀者可作個小小試驗﹐直接在Netscape瀏覽器的URL字段中輸入“mocha”﹐屏幕上就會跳出一個新窗口﹐上方為顯示區﹐下方則有一個文字字段可輸入指令。黑客可利用此指令字段進行不法活動﹐如﹕偷偷執行程序更改用戶的密碼。
為了避免這類情事發生﹐Yahoo會自動搜索並將這些關鍵用語直接換掉﹐但此措施並沒有向用戶公佈﹐也超乎一般網站的作法。Yahoo承認他們會置換調部份字眼﹐但不願說明此一措施從何時開始施行。
另外一例是eval﹐這是JavaScript用來評估程序代碼字符串的指令﹐因此Yahoo會將所有eval的字眼換成review。若你在HTML版的電子郵件裡用了evaluate(評估)的字眼﹐客戶收到時反而看到reviewuate。
同理﹐Medieval(中世紀)則被改成Medireview﹐偉伯(Merriam-Webster’s)字典雖然沒這個字﹐但若你用Google作搜尋卻可找出1150多筆數據﹐這可都是Yahoo的傑作。
Yahoo表示他們無意搞混用戶﹐或刻意篩選用戶的信件內容﹐他們只是希望能避免安全上的風險。
“為了確保用戶能獲得最高的安全保障﹐我們使用自動化軟件保護用戶免于這類潛在的程序代碼作怪的問題。”Yahoo發言人Mary Osako表示。
安全專家表示Web-based電子郵件廠商(如Yahoo或MSN)過濾HTML版電子郵件中的JavaScript碼是很平常的事﹐如此的確可減少駭客惡意入侵事件﹐不過Yahoo採用的方式似乎有點怪異。
“你並不需要去更改用戶的email內容﹐只需要更改程序代碼就行了。”ComputerBytesMan.com安全長Richard Smith表示。“一般網站都是這麼做的。”
MSN一位代表表示Hotmail的作法是直接將HTML版email中的JavaScript指令過濾掉﹐並不涉及更動文字的問題。
“若你不過濾掉JavaScript的話﹐大家的email賬號可能會經常受害。許多Web版的BBS或討論區也都會有如作法。”Smith表示。
Yahoo所使用的軟件會將email內容中所有可能與Web程序代碼搞混的詞彙通通換掉﹐但Yahoo發言人Osako以安全理由不願透露哪些詞彙會遭置換。而根據CNET News.com私下測試顯示﹐eval﹑mocha﹑expression分別會被換成review﹑espresso與statement。
而率先披露此事的英國NTK網站還列出一些其它字眼﹐如JavaScript換成java-script﹑livescript換成live-script等。
Yahoo的Osaka表示“該公司會經常更新過濾安全系統﹐以確保服務的安全性”。
不過Smith則認為“這應該是Yahoo這套過濾系統設計不當所致。”(http://www.dajiyuan.com)
