艾倫是LINE電腦版的重度使用者，每天打開電腦第一件事: 登入LINE電腦版，這幾天登入LINE電腦版時，發現手機版LINE傳來訊息: 「您已登入LINE PC，登入中的裝置 xxx....」，原來是LINE為了提供更加安全的使用環境，現在當我們登入LINE 電腦版或LINE Store時，系統將會傳送提醒訊息至我們的LINE手機版帳號。

大約是從太陽花學運過後開始，只要是來自中國大陸的電子產品，在網路上都會受到大小程度不等的攻擊與輿論批評。最近尤其又以「小米會回傳你的簡訊收件人電 話、你的通訊錄、以及應用程式清單回北京伺服器」以及「微信Mac客戶端爆出會記錄使用者輸入內容」這兩個消息炮火最猛烈。我回顧一下，F-Secure發現的幾個紅米機問題所在...

上一次寫 Android 系統安全的文章大概在兩年多前，那時智慧型手機還沒這麼普及，但今天不同了，有越來越多的低價智慧型手機問世，購機預算門檻大幅降低，使用者年齡層也逐漸往青老年擴展，但資安訊息的傳遞效率卻沒有因此而得到對應的擴展速度，導致手機中毒和詐騙相關事件頻傳。身為智慧型手機使用者，即便需求只是打電話和收發簡訊這種 2G 手機就能辦到的事情一樣不可輕忽潛在的危害，最近熱門的縮址詐騙簡訊就是一個例子，有心人會用任何方法引誘你上當，所以千萬不要認為不會用手機下載東西就不會被入侵，只要是外來訊息就有危險因子存在。

LINE為了解決盜帳號的問題，LINE官方推出防護機制「換機密碼」功能，來阻止不肖人士透過其他設備進行登入來盜用LINE帳號，官方為了鼓勵大家設定換機密碼，設定完成後就能免費獲得限定貼圖，為了自己的帳號安全一起來設定「換機密碼」吧! 讓這些不肖人士無機可趁。

我就是那個使用大陸軟體（微信、360云盤、QQ），還推薦其他人使用的智障。我承認啊，沒什麼好不承認的。

我不否認許多大陸軟件都有埋藏木馬，我從386時代開始用電腦，別人還在586的時候就模仿別人做了第一個色情網站。當時的中國網站、軟件比現在危險太多！中毒無數次、試毒無數次，搞壞無數電腦（當然也包括超頻超掛）。我相信我被中國軟件「搞」的次數，比很多人吃過的飯還多。

身處在行動裝置幾乎人手一機的世代，透過即時通訊 App 例如LINE或是WeChat來溝通、娛樂已經是許多人生活中不可或缺的部份，朋友間的聊天、同事間的溝通、上司的要事交辦甚至商家與客戶的線上客服都可透過即時通訊 App 來進行，因為只要一個工具就能有如此廣大的擴散力和影響力，因此不法人士藉由盜用他人帳號對使用者的朋友進行詐欺，由於朋友間的情誼較不易受到懷疑，因此詐騙出現得初期受騙率極高，直到各大網站、報紙及電視媒體報導後才有所減少。

近年來網站安全議題都是以網頁應用程式的漏洞居多，無法單靠防火牆阻擋。以 OWASP Top 10 2013 的第一名 Injection 而言，多半是程式撰寫方法不嚴謹所造成，因此才有了網頁應用程式防火牆 (WAF) 的出現。

有了 WAF 就是萬靈丹了嗎？就算有各種資安設備，但缺乏安全的設定，有的時候反而會讓系統陷入安全風險中。我們就以 Reverse Proxy 或 WAF 設備來探討不佳設定帶來的安全風險。

很多網站都會有偵測使用者 IP 的功能，不管是判斷使用者來自哪邊，或者是記錄使用者的位置。但是你知道嗎？網路上大多數的教學全部都是「錯誤」的。正確的程式寫法可以確保知道訪客的 IP，但是錯誤的寫法卻可能讓網站管理者永遠不知道犯罪者的來源。

這次我們單就偵測 IP 的議題來探討各種錯誤的寫法。

越來越多人的 LINE 帳號遭到盜用，不僅台灣有大量使用者受害，日本在5月底到6月14日間也發生至少 303 件帳戶在未經授權下被入侵的個案，LINE 官方將帳號被盜事件判定為其他網上服務共用密碼被外洩，也就是跟 Facebook 連結的部份，呼籲使用者儘速更改密碼。

上次我們提起這個古老的弱點後，已經有部分台灣企業陸續將此問題修復，但許多台灣企業仍有此問題而不自知，也許過陣子我們直接做個 Wall of Shame 條列出哪些廠商有問題會讓大家比較有感 :p

不過也別急著笑台灣企業，許多國際級的大網站同樣也有此類問題。由此可見資安問題不分新舊、不分國內外，總是容易被大家忽略，等到不知不覺被入侵者捅了重重的一刀後，才驚覺這許多的小弱點一旦串起來是多麼的可怕。你，開始有所警覺了嗎？