(http://www.epochtimes.com)
【大纪元7月19日讯】Yahoo的免费电子邮件看mocha(摩卡咖啡)不顺眼﹖没错﹐Yahoo Mail的用户若在电子邮件中使用“mocha”字眼﹐寄出后mocha竟会神秘地变成espresso。
这是Yahoo为了避免用户遭到不良程序的入侵所采用的一套自动过滤软件﹐会将一些与JavaScript有关的字眼替换掉。
ZDNet China7月18日消息,之所以有如此作法的原因是使用HTML语法(Web-enhanced)所寄送的email可加入JavaScript指令﹐并直接在收信端的计算机上执行程序﹐例如JavaScript语言可下令浏览器开启新窗口﹐或提示用户该改密码等…
Mocha即是这类可在网页版电子邮件上执行的特殊指令之一﹐读者可作个小小试验﹐直接在Netscape浏览器的URL字段中输入“mocha”﹐屏幕上就会跳出一个新窗口﹐上方为显示区﹐下方则有一个文字字段可输入指令。黑客可利用此指令字段进行不法活动﹐如﹕偷偷执行程序更改用户的密码。
为了避免这类情事发生﹐Yahoo会自动搜索并将这些关键用语直接换掉﹐但此措施并没有向用户公布﹐也超乎一般网站的作法。Yahoo承认他们会置换调部分字眼﹐但不愿说明此一措施从何时开始施行。
另外一例是eval﹐这是JavaScript用来评估程序代码字符串的指令﹐因此Yahoo会将所有eval的字眼换成review。若你在HTML版的电子邮件里用了evaluate(评估)的字眼﹐客户收到时反而看到reviewuate。
同理﹐Medieval(中世纪)则被改成Medireview﹐伟伯(Merriam-Webster’s)字典虽然没这个字﹐但若你用Google作搜寻却可找出1150多笔数据﹐这可都是Yahoo的杰作。
Yahoo表示他们无意搞混用户﹐或刻意筛选用户的信件内容﹐他们只是希望能避免安全上的风险。
“为了确保用户能获得最高的安全保障﹐我们使用自动化软件保护用户免于这类潜在的程序代码作怪的问题。”Yahoo发言人Mary Osako表示。
安全专家表示Web-based电子邮件厂商(如Yahoo或MSN)过滤HTML版电子邮件中的JavaScript码是很平常的事﹐如此的确可减少骇客恶意入侵事件﹐不过Yahoo采用的方式似乎有点怪异。
“你并不需要去更改用户的email内容﹐只需要更改程序代码就行了。”ComputerBytesMan.com安全长Richard Smith表示。“一般网站都是这么做的。”
MSN一位代表表示Hotmail的作法是直接将HTML版email中的JavaScript指令过滤掉﹐并不涉及更动文字的问题。
“若你不过滤掉JavaScript的话﹐大家的email账号可能会经常受害。许多Web版的BBS或讨论区也都会有如作法。”Smith表示。
Yahoo所使用的软件会将email内容中所有可能与Web程序代码搞混的词汇通通换掉﹐但Yahoo发言人Osako以安全理由不愿透露哪些词汇会遭置换。而根据CNET News.com私下测试显示﹐eval﹑mocha﹑expression分别会被换成review﹑espresso与statement。
而率先披露此事的英国NTK网站还列出一些其它字眼﹐如JavaScript换成java-script﹑livescript换成live-script等。
Yahoo的Osaka表示“该公司会经常更新过滤安全系统﹐以确保服务的安全性”。
不过Smith则认为“这应该是Yahoo这套过滤系统设计不当所致。”(http://www.dajiyuan.com)
