文章来源:   中国计算机安全

一份由密西根大学针对美国214家金融机构网站所进行的调查发现，有76%至少含有一个设计漏洞。

　　所谓的设计漏洞不同于传统的软件漏洞，可透过修补程式更新。设计漏洞通常出现在网站设计阶段，例如如何提供安全功能等。该项研究是在2006年11、12月间所进行。

　　该研究归类了五种设计漏洞，例如有些网站在将使用者转到拥有不同网域名称的新网页时没有提醒使用者，这让使用者无从知道这个新网页是否值得信赖；有些网站会在要求使用者登入时从一个非安全网页转到安全网页，这让黑客有机可趁，因为黑客可以修改非安全网页，把登入网页转到不安全的网页上。

　　有些网站则将安全建议或是连络资讯张贴在非安全的网页上，黑客通常能够伪造这些不安全的网页并提供不同的建议以及连络资讯；有些网站所采用的使用者个人资料的政策不够完善，例如允许使用者设定短密码或是用电子邮件帐号作为使用帐号；该研究也认为金融机构利用电子邮件传送密码是危险的，因为不是很多使用者都有安全电子邮件。

　　调查发现，有47%的网站在不安全的网页上提供登入功能，有55%的连络人及其他企业资讯是刊登在不安全的网页上，有31%的网站允许使用者设定电子邮件帐号为使用帐号，只有24%的网站完全没有上述设计漏洞。

　　报告指出，传统上并不认为FAQ或是连络方式等资讯是必须受保护的，但在社交工程技术窜起后，这些资讯可能被骇客利用来欺诈使用者，因此金融网站应该将相关资讯张贴在安全网页上。

　　至于如何辨识安全网页及非安全网页，最简单的方式就是在网址列上若出现https://，有一个s便表示这是受到加密保护的网页，若是单纯的http://则否。

　　该研究建议金融网站应该更谨慎地设计网页安全模式，以保护日益增加的网上银行用户。根据Pew Internet的估计，有42%的网路使用者会使用网上银行服务。