Your AISSUE, our solutions.
DNSSEC(Domain Name System Security Extensions/中文:網域名稱系統安全擴充)協定,是一種應用在 DNS 安全驗證的機制,技術原理是在 DNS 資訊中加入數位簽章的安全驗證機制,網站連線發送端透過簽章所產生的加密金鑰來保障傳遞訊息的正確性。當接收端收到傳遞的訊息時,需要經由解析器來驗證還原資訊的完整性,進而確認了收發端雙方的資訊傳遞安全性。透過 DNSSEC 協定,便能防範駭客竄改或冒用 DNS 紀錄發送錯誤資訊的風險,藉此強化 DNS 的安全性。
DNSSEC 採用的是「非對稱式密碼演算法」,對於資料的加解密作業將耗費更多的DNS主機資源,所以在原有的DNS系統上仍有許多瓶頸必須克服,因此尚未完全佈署,不過毋庸質疑的是 DNSSEC 協定技術能夠有效保障網站 DNS 的安全性,也受到各領域的支持,全球網域名稱管理機構(ICANN)也致力推廣,未來 DNSSEC 協定勢必將會普及,相信也將會帶領網站安全機制更邁向成功的一步。
為了防止駭客入侵網站、部落格,你是否知道全球內容管理系統(Content Management System, CMS)中最多人使用的「WordPress」,其目錄中的資料夾和文件檔案的讀取權限(File Permissions)應該如何設定才比較安全?
而且你是否知道 WordPress 如果使用了錯誤的目錄和檔案權限設定,會導致網站無法正常工作?
事實上 WordPress 目錄下的資料夾(Directory)與文件檔案有著不同的權限設定方式。
WordPress 目錄中的資料夾,預設的讀取權限可設定為 755(寬鬆點可用 775);文件檔案方面的讀取權限請設定為 644(寬鬆點可用 664)。
如果是「wp-config.php」這種藏有帳號、密碼設定的重要文件檔案,讀取權限可設定為 640。而「wp-admin」和「wp-includes」這類存放系統主程式的資料夾,讀取權限可設定為 750。如此設定基本上不會干擾到網站/部落格的正常運作,而且可以將目錄方面的部分安全性盡量提升。
參考資料:修復 WordPress 連線失敗 HTTP 500 Internal Server Error 的 8 種維修方案。
刑事警察局近日發表一份統計報告,針對去(105)年詐騙案件發生情形,發現民眾最常遭受詐騙手法前三名依序為:「假冒親友名義」、「 ATM解除分期付款設定」以及「假網拍」。
這是近年來詐騙集團的主要手法,歹徒盜用民眾LINE、臉書等帳號後,冒充本人向好友名單發送訊息,要求親友匯款救急;或以亂槍打鳥方式隨機打電話,要對方「猜猜我是誰?」,等被害人說出1個名字後就順勢假冒其人,再向被害人借錢。
警方表示,「假冒親友名義」雖然已是老梗,被騙人數卻從104年的第3名上升為去年的第1名,警方特別提醒民眾,接到親友傳訊息借錢時,一定要當面或電話確認身分,如果接到親友用陌生號碼來電借錢,也要用舊有的聯絡方式再次確認,以免上當,也呼籲民眾務必妥善保護自己的LINE、電郵信箱、臉書等帳號資料,以免帳號被盜用,害親友陷入詐騙圈套。
由於網路購物興起,民眾上網買東西、外送餐點、訂票等生活模式已經變成常態,但是部分網站沒有良好的安全防護措施,遭駭客入侵竊取民眾個資與交易資料,再竄改來電號碼,冒充客服及銀行人員謊稱該筆交易被誤設為連續多次扣款,要求民眾操作ATM「解除分期付款設定」,藉機詐財得逞,但其實ATM只能「提款」跟「匯款」,不具有解除設定、身分驗證等功能。
詐騙集團看準民眾想撿便宜心態,在拍賣網站或臉書社團推出低於市價的商品,等買家下訂匯款後就斷絕聯絡。警方建議民眾應選擇具有安全交易機制的網拍平臺,避免私下交易,並保留所有交易、對談資料,以防有糾紛。
另外近來還有利用臉書(Facebook)廣告推銷特定商品的一頁式購物網站,這些網站內容大多用很長的單頁面來促銷產品,並且只能留下購買人資料以及採用貨到付款的方式。這些網站賣家無法追蹤來源,往往都是從中國大陸淘寶網用便宜價格購入,再透過大打廣告的方式用高額價格販售給民眾,建議民眾多加留意,不要在這類來路不明的網站留下資料並且購買商品。
刑事警察局向民眾警告,科技詐騙花招雖多,但「千騙萬騙,離不開ATM」,還有對於「貨到付款」的購物型態要多加留意,歹徒大多利用民眾疏於查證及貪小便宜的心態下手,民眾在享受網路交易與智慧型手機帶來的方便性之餘,更應加強自身防詐意識,運用ATM交易匯款前務必再次確認對方身分,也提醒民眾有任何相關問題可撥打165反詐騙諮詢專線求助。