CUN News 電腦新聞台 CUN電腦新聞台 CUN News By Computer User Network (http://hk852.to/cun/) From CNET資訊

1,906愛的鼓勵 2訂閱站台

微軟公司已悄悄啟動Internet Explorer 7新增的防網路釣魚(phishing)新功能。凡經確認安全無虞的網站，IE7網址列會以綠色標示。

微軟Windows產品經理Markellos Diorinos接受訪問時表示，微軟1月初調整電腦系統，讓符合新式安全認證的網站在IE7網址列以綠色底色呈現。

Diorinos說：「許多必需的元件已部署妥當，所有移動元件也即將到位。」微軟計劃本周在舊金山舉行的RSA Conference年度安全會議中，宣傳綠色網址列。

綠網址列的用意，是顯示某個網站值得信任，有如交通號誌中的綠燈一般，讓網路使用者放心在這些網站進行交易。綠網址列已出現在Overstock.com和VeriSign的安全網站上。

VeriSign資深產品經理Spiros Theodossiou說，VeriSign擁有包括300名客戶，包括線上零售商Overstock.com。這些客戶已加入綠網址列認證程序。他說， VeriSign將在RSA Conference公布更多參與網站的名單。

網釣是網路上十分猖獗的詐騙行為，利用仿冒的網站騙使用者上傳個人資料。這種詐騙手法已造成企業可觀的營收損失，並打擊消費者對網際網路的信任。Gartner的調查估計，2006年因為安全顧慮而流失的美國電子商務銷售額將近20億美元。

Diorinos說：「我們希望使用者建立信心，覺得網路交易是安全的。EV (extended validation，延伸認證)是我們達到那個目標的一種方式。」

SSL漲價

微軟最新版瀏覽器IE 7只有在某網站具備延伸認證憑證(extended validation certificate；EV SSL)的情況下，才會顯示綠色網址列。EV SSL是一種新式安全認證憑證，由銷售安全插座層（SSL）的同一批公司核售。SSL憑證將網路傳輸資訊加密，並在網頁瀏覽器中以黃色掛鎖標示。

業界普遍的共識是，網頁瀏覽器對值得信任網站的辨識能力必須加強。目前用的掛鎖圖示只能顯示跟某網站互通的資訊經過加密處理，並已由第三方(即認證單位)確認。然而，技術標準鬆散和疏於監督已造成這套系統可靠性打折扣。

EV SSL憑證與其他允許瀏覽器與網站連線的憑證類似，差別在於進一步驗證每份憑證的持有者身分。申請驗證者必須通過一項嚴格的審查過程，這是所有憑證核發者都必須遵循的。因此，取得EV憑證的費用高於傳統的SSL憑證。

例如，Cybertrust銷售的傳統憑證費用是年繳230美元，但EV SSL憑證年費要800美元。VeriSign的EV SSL憑證一年收費995美元，傳統憑證年費只要399美元。也有業者打折扣，例如GoDaddy的最低費率為每年19.99美元。

防小人

微軟採用的這套新系統引起的反應毀譽參半。

初期，只有已註冊的獨立實體(incorporated entities)才能獲得這項信任標章，但這樣的規定不啻是把小型業者擋在門外。負責制定EV SSL憑證規定的CA Browser Forum組織，此刻仍在研擬一套指導方針，以便把所有合法的網站都納入。

Diorinos說：「CA Browser Forum正持續解決這個問題。這或許是優先處理的首要議題。」

CA Browser Forum由核發網站安全憑證的公司以及主要瀏覽器製造商組成。該組織正小心翼翼行事，以免削弱EV SSL安全認證機制。

VeriSign的Theodossiou說：「我們不希望最後產生一種討好未註冊商家的標準，使得安全漏洞又增加。我們希望確定這項標準是正確的。試圖推出可能平添漏洞的標準，只會貶損綠色網址列的價值。」

微軟是第一家採用EV SSL憑證的瀏覽器軟體公司。其他瀏覽器公司仍在考慮是否支援這項新標準。

負責Firefox瀏覽器開發統籌的Mozilla安全長Window Snyder說：「我們將在Firefox 3加入對EV憑證的支援，但我們仍在研究如何把新增的訊息告知使用者。」他表示，Firefox 3預定在今年下半出推出。

Opera的發言人表示，仍在觀望微軟IE7綠網址列的效果如何。