大砲開講

「雅虎併無名，競爭者聯合嗆聲反對」之我見！

昨天很多電子媒體都相繼報導「雅虎併無名，競爭者聯合嗆聲反對」，倒底是怎麼一回事呢？

報導中說，入口網站業者 PChome、webs-tv 及蕃薯藤同聲反對雅虎奇摩併購無名小站，原因是壟斷台灣網路市場。

以下是我的看法：

台灣有太多的壟斷市場如鐵路、石油、電信等等，不是嗎？在商言商，企業生存之道，增加自己的競爭力，提高客戶滿意度，進而增加獲利 (使股東高興)，否則，就是併購競爭者，以形成獨大局面，這應該是很正常的企業運作模式，我倒不覺得奇怪。我倒是要反問這些反對者，你們不也是為自己的利益著想嗎？難道是為了使用者嗎？如果以後你們變成老大，想必也一定會這麼做，不是嗎？

在這裡，我比較關心的是使用者的權益問題。第一、如果對使用者有什麼承諾的話，應該履行承諾，否則，使用者會唾棄你。第二、如果合併結果，對使用者是好的 (事後才能證明)，那也沒問題，如果不好，市場自然會淘汰他們。

前一陣子，很熱門的話題「時代（Time）雜誌選出 You 做風雲人物」，每個企業口口聲聲說，要提高顧客滿意度 (知易行難喔)，真的是這樣嗎？我倒是沒感受到這種服務，不是嗎？不曉得各位有感受到嗎？

最後，併購在國外是很正常的，因為企業要生存，要有市場競爭力。反觀國內，彼此相互批評，不知道問題的關鍵在什麼地方 (難道，雅虎一開始就是最大的嗎？)，所以，我想「顧客至上」應該只是一個口號而已，不是嗎？

結論是天底下沒有白吃的午餐，自己的權益要自己爭取。

更新資訊：

當Yahoo!奇摩就等於網路時，網路世界還是自由的嗎？－－對於Yahoo!奇摩併購無名小站的質疑

1月23日記者會全程錄影

個人觀點, 產業動態 | 瀏覽數：576 | 0 迴響 »

「你或妳」是受害者嗎？

「你或妳」是受害者嗎？題目很奇怪，也很聳動，那我倒底要講些什麼呢？

這些日子以來，我在部落格上揭露不少有惡意連結或惡意檔案的網站，有些是網友提供的，有些則是自己發現的，我也盡自己的本分，儘快通知這些網站的網管人員，所得到的回應是「無回應」、「哪裡有」、「你是不是詐騙集團」、「我們會儘快處理」等等之類的話，可想而知，我的感受是如何，但最讓我覺得難過的是通常這些中獎的網站，經過一段時間後，往往都會再次中獎，似乎他們的網管人員只負責把惡意連結或檔案移除，其他的就不管了。受害者是誰呢？答案是「你 (或妳)」，沒錯，是「你 (或妳)」，但你 (或妳) 會有什麼反應呢？自認倒楣呢？還是討回公道呢？如果你 (或妳) 是自認倒楣的話，我想大部分的人是屬於這類型，所以，中獎是應該的，但如果你 (或妳) 是討回公道的話，那你 (或妳) 就是今天題目的主角。

當很多人都在談論今年時代（Time）雜誌選出「You」做風雲人物時，我想很多人都不知道自己所擁有的權利，而讓自己的權利睡著了。當你 (或妳) 的電腦因為在瀏覽網站或玩線上遊戲中毒，而導致金錢上的損失，那你 (或妳) 所擁有的權利是什麼呢？以下是我自己的觀點 (作為一個消費者的立場)：

一、如果是軟體或作業系統的安全漏洞的話，你 (或妳) 應該可以向開發這個軟體或作業系統的公司索賠金錢上的損失。為什麼呢？因為他們沒有嚴格把關，以及迅速修復漏洞，使得有心人士可以利用這些安全漏洞植入一些惡意連結或檔案，導致你 (或妳) 金錢上的損失。在部落格上有惡意連結的這些網站 (大部分都是偷帳號和密碼的木馬程式)，通常修復速度都非常緩慢 (如惠安移民)，甚至，根本不修復 (如朱銘美術館)，我想很多消費者自己中毒了都不知道，有可能導致金錢上的損失。我想你 (或妳) 應該打電話去告訴他們這件事情，情節嚴重者，可以要求他們賠償損失，否則，請各位告訴親朋好友，不要再瀏覽他們的網站。

二、如果是代管業者的疏失的話，你 (或妳) 應該可以向他們索賠金錢上的損失。為什麼呢？因為他們管理不善，沒有定時更新或修補系統或軟體的安全漏洞，使得有心人士可以利用這些安全漏洞植入一些惡意連結或檔案，導致你 (或妳) 金錢上的損失。台灣的代管業者通常收費都不便宜 (跟國外的代管業者相比的話)，相對地，他們的服務有比較好嗎？如果問題發生，他們會告訴你 (或妳) 嗎？我想應該不會，是不是呢？所以，最後損失的人還是你 (或妳)。

現今防毒軟體都說自己最好，甚至，拿了很多測試機構的認證當作背書，但電腦還是很容易會中病毒，不知道防毒軟體廠商有沒有努力改善他們防毒軟體的功能，以保護使用者，免於受惡意程式的干擾，還是每天只想賺消費者的錢呢？

最後，你 (或妳) 是主角，如果你 (或妳) 再不覺悟的話，沒有人能救得了你 (或妳)，自己的權益自己爭取。如果你 (或妳) 是惡意程式的受害者，你 (或妳) 採取什麼行動呢？

P.S. 雖然，有時候講這些都是白講的，因為你 (或妳) 會覺得跟你 (或妳) 無關，直到你 (或妳) 遭受損失時，才會覺悟。

個人觀點, 網站安全 | 瀏覽數：586 | 0 迴響 »

關於本站

本站致力於揭露台灣網站被值入惡意連結、存在XSS或其他安全漏洞之相關訊息，以及改善台灣資訊安全環境。

本站與任何資安廠商皆無合作關係，如果資安廠商想刊登新聞稿或技術文章(不收取任何費用)，歡迎聯絡我們。最後，期盼企業勇於面對資安威脅。

關於編輯

邱春樹 (Roger Chiu)

• 畢業於中正大學應用數學研究所 (逢甲應用數學系)
• 趨勢科技防毒引擎研發部門待了七年，歷經很多專案，從測試工程師、產品維護服務到研發專案經理，2006年6月離開趨勢科技，隨即在7月創辦 Malware-Test Lab，想要分享自己在防毒、反間諜軟體領域的經驗給各位。
• 目前任職於吉瑞科技。

如果您想提供任何資訊給我或有任何疑問想問我，可以利用電子郵件連絡我。

個人觀點 | 瀏覽數：13,233 | 26 迴響 »

反間諜軟體的未來

從幾年前開始，間諜軟體就悄悄地出現在網際網路上，在那個時候，只有幾家反間諜軟體廠商(如Lavasoft AdAware, Spybot S&D, Webroot Spy Sweeper, Sunbelt CounterSpy等等)在從事這方面的研發工作，誰也沒有料到它會在最近兩年搖身一變成為最火紅的資安威脅，以至於傳統防毒軟體大廠(如Symantec, McAfee, Trend Micro等等)不是紛紛投入大量的研發資源，就是藉由併購其他反間諜軟體廠商，以快速達成支援掃描及清除間諜軟體的功能，但反間諜軟體該何去何從呢？讓我一一為各位說明。

在這裡，我要先說明反間諜軟體使用的技術，大部分的反間諜軟體皆使用MD5(或客製化過的MD5)演算法偵測間諜軟體檔案和使用常規表示式(Regular Expression)比對檔案名稱及註冊碼，所以，當間諜軟體檔案內容、檔案名稱或註冊碼會任意變化時，常常就顯得束手無策。另外，反間諜軟體的即時監控與防毒軟體的即時防護是不一樣的，反間諜軟體幾乎都是在使用者模式(User Mode)下監控系統幾個重要的地方如Autostart註冊碼、瀏覽器設定等等，然後定時檢查有沒有發生變化。那會有什麼問題呢？第一，無法提供系統完整保護；第二，檢查的地方變多的話，會影響系統效能；第三，間諜軟體執行之後，才可能偵測到系統出現異常，但在那時系統很有可能已經被植入間諜軟體。

整合安全威脅是資安軟體之趨勢，也因為這樣，防毒軟體廠商今年幾乎都會把反間諜軟體的功能納入防毒軟體中，以利於市場競爭。那反間諜軟體廠商呢？反間諜軟體廠商也很清楚這是潮流，不是被其他廠商給購併，就是紛紛將木馬、蠕蟲的偵測與清除加入他們的特徵碼中，但這是不夠的，除了前一段落的說明，還有就是最近的間諜軟體為了防止反間諜軟體偵測及清除它們，很多都結合惡意程式及Rootkit的技術，導致反間諜軟體很難偵測及清除它們，所以，有些反間諜軟體廠商正在將防毒軟體、防火牆的功能加入他們的產品中，否則，長期來說，反間諜軟體廠商是很難與防毒軟體廠商競爭的。那單一功能的反間諜軟體呢？個人認為他們會慢慢地被大家所遺忘，但也有可能因為免費的因素，大家仍然繼續使用它們。

個人觀點 | 瀏覽數：2,093 | 0 迴響 »