[2010資安週] 網路下載別隨便，資訊安全有保障

2010 年 11 月 03 日

5,904 人次

報名系統

學習歷程

深耕閱讀

優質化

校務評鑑

模擬電子商城

四、檢查網站的安全

當我們用搜尋引擎來搜尋網站後，搜尋引擎並不會告訴我們這些網站是否安全、是否值得信任，某些防毒軟體雖然提供了網站過濾功能，但是由於網站內容更新速度快，不見得能夠完全過濾掉不安全的網站。

筆者這邊介紹一個能夠用六種網站檢查引擎來過濾網站安全的Firefox擴充套件–LinuxExtend，讓你在下載檔案前能預先知道該網站的安全指數，再來考慮要不要從該網站下載檔案。

LinkExtend

官方網站：https://addons.mozilla.org/zh-TW/firefox/addon/10777/

1.用Firefox打開LinkExtend的網站，按下〔新增至Firefox〕即可安裝。

2.安裝LinkExtend後，只要在搜尋引擎輸入關鍵字，搜尋結果後方就會有個網站安全的符號(紅色：高危險，黃色：中危險，綠色：低危險)，在符號上按下滑鼠左鍵，會顯示出所LinkExtend所使用的六種網路安全檢查引擎，每個引擎所顯示的危險指數不見得相同。

在安全符號後面還有顯示該網站的「PageRank」及「SiteTraffic」，一般來說這兩個指數越高表示瀏覽的訪客數越多，該網站值得信任的程度也就越高。

另外LinkExtend也會在Firefox上方安裝一排工具列，當你開啟網站時，就會在LinkExtend工具列上顯示該網站是否安全。

如果你用的是IE瀏覽器，這邊推薦兩個相同功能的軟體：

趨勢科技的網頁威脅防禦工具(WTP Add-On)：http://www.trendmicro.com.tw/wtp/micro/index.asp

McAfee的SiteAdvisor：http://www.siteadvisor.com

五、如何檢查檔案是否遭到竄改

某些避免使用者下載到被別人竄改後的假檔案，某些網站會提供檔案的雜湊值驗證碼，最常見到的就是MD5及SHA-1這兩種。

所謂雜湊值就是將檔案內的資料經過數學的計算後，所得到的一組獨一無二的數值，即使檔案被修改了一個Byte，所計算出來的雜湊值也會不同。因此我們在下載一些重要的檔案後，可以利用雜湊計算軟體來檢查檔案是否正確。

例如一般人常用的國稅局網路申報軟體，為了避免使用者下載到假檔，會在網站上公開SHA-1驗證的工具及驗證檔，可見得雜湊檢查的重要性。

阿正老師在這邊介紹一套相當容易安裝及使用的免費雜湊軟體–HashTab，支援了Windows及Mac OS X等兩大作業系統平台。

HashTab軟體介紹

官方網站：http://beeblebrox.org/
下載網址：[Windows版] [Mac OS X]
支援平台：Windows XP以後版本/Mac OS X 10.4以後版本

下載並安裝好HashTab後，只要在下載的檔案上按下滑鼠右鍵，選擇【內容】，就會發現多了一個「檔案校驗」的分頁，裡面會顯示CRC32、MD5、SHA-1…等雜湊值，只要在下方的「校驗比較」欄位中輸入網站上提供的雜湊值，就會顯示比較的結果是否正確。

這邊有個小問題要考考讀者：從官方網站去下載檔案，是不是就不會下載到假檔案？

答案是：錯！當你的電腦被感染了某些電腦病毒或木馬之後，它會將你電腦的DNS設定指到假的DNS伺服器，也就是你所開啟的「官方網站」可能會被導到假的網站，因此你下載到的也會是被竄改或植入木馬的假檔，所以不得不小心！

關於其他雜湊工具，讀者也可以參考本站文章：《還怕下載到假檔案嗎？11合一的免費檔案雜湊檢查軟體幫你一次搞定！》

六、在虛擬機器或Live CD中下載檔案

如果你跟阿正老師一樣，常常需要下載軟體檔案來測試，又怕下載到有問題的檔案時，可以試試看使用虛擬機器軟體來安裝另一套作業系統。

比較常見的虛擬機器軟體有VMWare Workstation、甲骨文公司的Virtualbox、微軟的Virtual PC…等。其中阿正老師比較推薦VirtualBox，除了完全免費、版本更新速度快之外，還有完整的中文介面，操作也相當簡單，是用來當沙盒(sandbox)的不錯選擇。

VirtualBox

官方網站：http://www.virtualbox.org/
軟體下載：http://www.virtualbox.org/wiki/Downloads
支援平台：Windows/Mac OS X/Linux/Solaris

使用虛擬機器來下載檔案的最大好處，就是虛擬機器的電腦就算中毒或損毀了，也不會影響本機的正常運作，加上目前的虛擬機器軟體都提供了「快照」的功能，只要在下載前建立一個快照，當你發現下載或安裝的檔案有問題，可以隨時還原回去，非常方便。

如果你懶得在虛擬機器中安裝另一個作業系統，也可以試試目前很熱門的Ubuntu Linux，只要到官方網站下載一個不到700MB的CD映像檔，就可以從電腦或虛擬機器中直接開機，不用安裝即可執行(也就是Live CD)，加上在Linux中不會感染Windows裡面的病毒，因此可以在裡面放心下載檔案或開啟可疑的Email附件，而不怕被病毒感染了！

※Ubuntu下載網頁：http://www.ubuntu.com/desktop/get-ubuntu/download