問:相信不少聽眾,都會使用家用路由器的遙控管理功能,以便在家中妥善管理各類網絡設置。但有保安專家發現,D-Link有部分家用路由器,由於設計上的缺陷,遙控管理部分並不安全,建議用家關閉遙控管理功能,以免黑客入侵,請問是怎樣一回事?
李建軍:由於D-Link的家用路由器,HNAP協定的設計出現漏洞,只要在遙控登入部分輸入超長的字串,就很容易能夠攻破路由器的保安系統,接著就可以為所欲為。而相關缺陷,並非可以由D-Link更新軟件可以解決,因此,發現相關漏洞的網絡保安公司,建議用家關閉路由器的遙控系統,以免黑客入侵家中網絡系統。
如果你真的需要在家中使用遙控管理功能,很可能只能選購其他牌子的路由器以策安全,因D-Link以往不只一次在HNAP設計上出現漏洞,而引發保安問題。而現時D-Link亦未有公布方案,解決由HNAP漏洞所引發的保安問題。因此,選用其他牌子的路由器,變成了唯一解決問題的方案。
問:不少人都有用Web of Trust的瀏覽器插件,去防止瀏覽一些內有保安問題的網站,只不過,德國電視台踢爆Web of Trust插件本身其實都有問題。Mozilla基金會更加將Web of Trust插件,由插件商店中移除。Web of Trust的插件出現什麼問題?又會否鼓勵聽眾日後安裝更新版的Web of Trust插件?
李建軍:Web of Trust插件,被德國電視台發現,不單會追蹤個別網民行蹤,而且會將搜集得來的資料,售予商業機構,甚至政府部門,Web of Trust一日未交代清楚所搜集的資料最終行蹤前,這插件不單不會保障用家的網絡安全,相反,更可能令用家的安全受到影響,大家想像一下Web of Trust將資料售予中國政府,都足以構成重大麻煩。
因此,縱使Web of Trust稍後推出新版的插件,都不建議重新安裝。事實上,只要你用Chrome或Mozilla等開放源碼的瀏覽器,本身都有足夠保護,防止你瀏覽一些有嚴重保安問題的網站,並不需要Web of Trust之類的軟件。而相信,日後使用者會對商業機構推出的插件提高警覺,畢竟天下間並沒有免費午餐,除了出售使用者私隱,或出售軟件訂閱費用,商業軟件公司很難長期向用戶提供軟件,並維持開發成本。開放源碼插件,反而會對用戶私隱比較有保障。
問:除了GMX,透過Gmail都可以利用PGP來進行電郵加密,但應該怎樣做,因為Gmail好像沒有支援相關做法。
李建軍:如果你有在Firefox或Chrome安裝了Mailvelope插件,其實你可以用同一插件,在Gmail上用自行產生的PGP金鑰,以及對郵件進行加密,只不過你撰寫電郵時,程序略有不同,包括需要在相關Gmail網頁上先激活Mailvelope插件,以及撰寫電郵時,需要多按一兩個按鍵,在另一視窗上撰寫電郵,確保你的電郵,經過了PGP加密。
如果你曾經照翻牆問答的教導,使用GMX的加密網上電郵,就已經在瀏覽器安裝了Mailvelope插件,而不需要再安裝瀏覽器插件。而Mailvelope插件暫時只支援Firefox和Chrome,因此,Safari、IE和Edge用家,是沒有辦法透過瀏覽器版的Gmail來拆閱和加密Gmail,而Android和IOS用家,需要將金鑰移到支援PGP的軟件,才可以替自己的Gmail加密,以及拆閱已加密電郵。
這次翻牆問答,我準備了視頻,示範由在Firefox上,產生Gmail所需的PGP金鑰,以及如何加密,以及拆閱經加密的Gmail信件,歡迎聽眾瀏覽本台的網站收看。