1月23日台北报道 强调互动、分享等Web 2.0精神的社交网站，过去一年来大受欢迎，但也可能成为2007年新的安全隐忧。

安全厂商指出，包括视频共享网站如YouTube，以及如MySpace一类可分享、交流媒体文件的社交网站，吸引许多网友在上面大量交换、下载文件，可能助长伪装的恶意程序散布，成为病毒天堂。

趋势科技表示，2006年底出现了第一只概念验证(proof of concept, POC)型态的木马程序“TROJ_MPEXPL.A”，该程序会利用“XMPlay v3.3.0.4”播放程序的安全弱点，使用者执行该程序后，便可能被攻击者通过特制的ASX文件散播，发动缓冲区溢位(buffer overflow)攻击，远程攻击者便可趁机在受感染的系统上执行任何文件。

所谓概念验证型态的病毒，指该病毒是为了证明某种感染方式可行而被设计，本身不一定有害，但其感染方式一旦被证明为可行，往往会引起仿效，出现其它利用同一概念设计的病毒。

趋势技术台湾地区支持部技术总监王应达解释，发现此木马程序的意义在于，证实新技术的存在后，未来这种利用播放程序弱点，或其它伪装成媒体文件的恶意程序将会越来越多。而在Web 2.0风潮下，网友大量分享媒体文件，恐会助长此类病毒散布。

Web 2.0并没有清楚的定义，但一般用来区别单向、静态的Web 1.0，强调其互动、多元、开放、共享与使用者的主动性。

但令人担忧的是，各式各样打着Web 2.0互动分享精神的网站大受欢迎，在改变网络使用者习惯的同时，也可能为信息安全开了后门。

Symantec 台湾区技术顾问总监王岳忠指出，以往安全的概念是要“筑城墙”来保护自己计算机的安全，但互动分享精神主张的却是要“打破城墙”，两种概念是完全相反的，当然会严重威胁安全。

王应达补充说，在日益普遍的博客上，RSS等技术也会让使用者更不设防地连上自认安全的网页，增加安全风险。王岳忠解释，过去的病毒来源主要是email和浏览网站，在Web 2.0时代，威胁的来源、形式则更多更广。

威胁本质变化不大

不过，通过社交网站进门的许多安全威胁，看在专家眼里，也不过是换汤不换药。

CA台湾区技术顾问林宏嘉就不认同Web 2.0及社交网站会带来所谓新的安全威胁，因为两者和一般网站并没有明显的界限，他说。

林宏嘉举例，在社交网站上最普遍的安全问题就是通过社交工程(social engineering)像是恶意程序在交换、下载文件过程中无意间被传布与执行，导致诈骗、网钓(phishing)攻击。“但这些都不是新的攻击行为，跟网钓邮件、电话诈骗一样，天天都在发生。”他说。

他指出，社交网站风潮导致其安全性问题被进一步突显。许多攻击手法“只是换地方发生罢了，”他说。

林宏嘉认为，把病毒、网页全部在网关端挡掉，看似合理，但却不可能挡掉所有威胁。他还说，不论是各家厂商宣称可判断网站安全性的公式、或内容过滤机制，都有其限制，永远都可能有新的威胁逃过封锁。他认为，除了基本的防御以外，使用者行为的管理或对安全的自觉也相当重要。

王应达亦认为，就安全的角度来看，安全威胁的本质并没有太大的变化。他补充，使用者在网上的行为，才是引发危害的关键。

他以企业中的网络使用为例解释，企业很难真正限制员工以公司电脑连上可能有安全漏洞的社交网站，员工行为难测，便会成为防护的隐忧。

为了防止员工使用社交网站导致的风险，他建议应该把安全防护拉到最前线，采用网关端(gateway)的防护，通过网站过滤机制封锁黑名单上的危险网页，让员工根本无法浏览。

Symantec 则主张Security 2.0概念提供消费者保护。王岳忠说，一般使用者除了确保计算机设备本身的安全(device protection)，还需要加上互动过程的防护(interaction process protection)，让使用者通过软件确知自己上的网站安不安全。(马培治)