就是資安

OWASP (Open Web Application Security Project) 每三年一次的 Top 10 報告，於日前 (2010/04/19) 正式定案。這次報告的副標題由 2007 年的 The Ten Most Critical Web Application Security Vulnerabilities 變成了  The Ten Most Critical Web Application Security Risks，顯示 OWASP 試圖跳脫以純技術眼光來看待 Web Application 議題的思考模式，而是以整體的風險來加以評估。當然，風險其實是很”個人化”的，所以 OWASP 所謂的風險依舊是以”一般性”的眼光來加以評估，在實際的應用上必須自行重新評估。

在獲選入榜的項目中，除了排名因為評估方式改變而有所變化外，還有下列幾項的變更：

根據 BBC 的報導，最近有一隻名為 Kenzero 的病毒 ，會將感染者電腦的上網資訊透過檔案分享的機制加以公開，要求使用者提供個人資料並利用信用卡繳交一筆”下架費”。嚴格來說，這筆金額數目並不大 (1500 日圓)，所以對於受害者來說可能選擇花錢了事。但是有心份子的野心怎麼可能就此滿足，這些個人資料與信用卡資料進一步遭到轉賣，對使用者造成了遠大於表面情形的危害。除此之外，在歐洲也發生了病毒傳送違反著作權的假訊息，並要求受害者利用信用卡的方式進行線上繳交和解費用的動作。最後不管是否有進行費用的轉移，但是個人資料與信用卡資料外洩造成的危害，已經不是可以輕易用金錢加以比較了。這類的軟體，基本上稱之為威脅軟體 (Ransomware)，利用人性面對威脅時易產生恐懼的心理以達成其不良的目的。在面對這類惡意軟體時，除了堅守不亂下載、亂執行程式的基本原則外，當發現有任何可疑的現象發生時，更應該尋求專業人士的建議，而不是嘗試私底下想要以錢加以私了，否則到時候可能變成了賠了夫人又折兵。