最新消息與公告 
教學魔法師APP IOS版本取得APP資安檢測合格證書
新一代校務整合資訊系統進度購置本年度相關設備與軟體,作為未來新一代務系統與大數據系統使用,目前設備已於7/8上架安裝,並於7/25完成驗收。
F501電腦教室加裝桌面電源模組
Premier影音軟體資訊教育訓練本校對外網路流量分析
本校個人電腦維修統計
電腦專欄
科技新聞
Google周一宣布將釋出一項新功能,讓Android手機用戶透過Chrome瀏覽器以指紋或其他方式,登入密碼管理器等部份Google服務,而不再需要輸入密碼。新功能未來幾天就會部署到Android 7.0以上版本的裝置。
在今年2月Android取得FIDO 2認證後,Google就積極推動無密碼驗證,使Android 7.0以上手機可以透過內建的指紋辨識器或USB實體金鑰,來登入支援FIDO2/WebAuthn協定的網站或app。
周一的宣佈即是無密碼驗證部署的最新一步。第一個部署的服務密碼管理器服務(Password Manager),當Android用戶以Chrome瀏覽器連上passwords.google.com後,會看到要求輸入密碼的驗證對話框,使用者 也可以選擇以指紋、或是其他解鎖方法驗證。Google表示這項功能未來將擴及其他Google和Google Cloud的服務。當然在此之前,用戶手機需具備指紋驗證感測器,並且已將手機註冊到Google帳號中。
The Verge報導,今天僅特定Android手機可以開始使用,但接下來幾天就會推向所有Android 7.0以上的裝置。
根據Google網頁使用者驗證自己的方式除了密碼、指紋外,還有4位數PIN碼和圖形密碼鎖。此外,你還可以設定兩步驟驗證,以Android 7.0以上的手機作為驗證金鑰。
,為何需要一人一號的身分認證制度,以最近銓敘部外洩24萬公務人員資料為例,這些外洩的資料若再結合私部門的資料,就能發 動特定類型的攻擊。一人一號的身分制度雖然帶來方便,但也帶來相當大的風險,以日本為例,沒有一人一號的身分,日本民眾一樣可以報稅、駕照、申請保險,因 為不同的服務對應使用不同的身分。以相同的角度探討是否需要數位身分,當愈來愈多的服務要求數位身分認證,例如臺鐵購票以實名制防止搶票,民眾使用服務留 下紀錄,反而衍生出政府監控、隱私保護問題。
整合自然人憑證,不另設專法
由於先前曾傳出政府有意結合健保卡、駕照等功能,陳嘉淯指出,這張數位身分證就是國民身分證和自然人憑證的結合,沒有其他的卡片,單純為身分識別,不會儲存其他的資料,沒有侵犯個人隱私,換發數位身分證的原則是,提升防偽的機制,個資最小化、隱私保護及資訊自主。
依內政部的規劃,數位身分證整合自然人憑證,使用者可以選擇開啟或不開啟自然人憑證功能,但目前的規劃是,現有的自然人憑證效期截止後,可能不再換發新的自然人憑證,換言之,鼓勵民眾在數位身分證上開啟自然人憑證。內政部也規劃在明年公布API規格。
另外,內政部規劃換發的數位身分證,其平面資料不會比現行的紙本身分證的資料還多,並且透過晶片辨別卡片的真偽,提升數位身分證的防偽,並有防竄改、複製 及內建電子小偷的功能。若民眾不慎遺失卡片,拾得者若沒有持有者的同意,沒有取得密碼之下,無法取得配偶欄、父母等延伸性的資料。
對於外界對數位身分證可能引發的安全疑慮,陳嘉淯補充解釋,這張數位身分證將採用國際標準身分識別的最高等級,在高安全性、保障隱私的原則下換發,外界不用太過擔心資料外洩。所有換發的費用由政府負擔。
因數位身分證換發,以晶片身分證取代傳統的紙本身分證,並整合自然人憑證,兼具實體身分及網路身分識別功能,為國內身分證的一大革新,帶來方便之餘,外界認為也應修法或比照其他國家制定新法規範,以保障民眾使用數位身分證的權益。
內政部長徐國勇今年5月在立委質詢時提及,數位身分證將以現行的戶籍法、個資法、資通安全管理法、電子簽章法,足以從各面向支撐換發,不需修法或另立新 法。對此,台灣人權促進會曾為文批評,不論是部份換發或全面換發eID,由於和傳統紙本身分證相比在功能上有很大的落差,政府應考慮修法,甚至是立法,僅 以行政規則作為換發晶片卡的法源依據,不足以達成行政機關保障民眾權益的承諾。該會也質疑政府推動換發數位身分證政策,缺乏相關配套措施,例如對公務機關 使用eID存取其他行政機關的資料庫,是否需要民眾的同意?個人是否可檢視eID或相關資料被存取的紀錄?
陳嘉淯表示,目前換發數位身分證向朝向不設立專法,依現行戶籍法相關規定,身分證換發、期程由中央主管機關制定,即由內政部負責,而數位身分證牽涉到電子 簽章法、資通安全法、個資法,內政部已行文請經濟部、國發會、行政院資通安全處盤點現有法令,是否需配合數位身分證進行修法,另依中央行政機關法注意事 項,以修法優先於立法。
資訊安全 
示意圖,圖片取自(1) svgsilh(https://svgsilh.com/image/157597.html;(2)Font Awesome Free 5.2.0 by @fontawesome - https://fontawesome.com
專精於滲透測試的網路安全業者Pen Test Partners在上周舉行的Defcon安全會議上,揭露了多個品牌的4G行動網路裝置之安全漏洞,批評這些裝置的製造商未來都將生產5G裝置,但多數並不注重這些裝置的安全性。
Pen Test Partners此次的研究對象為Mi-Fi裝置,指的是那些以行動網路作為Wi-Fi 熱點的裝置,像是4G網卡或4G路由器。Pen Test Partners表示,隨著5G即將來臨,代表未來幾年將有愈來愈多的人使用行動網路來上網或分享,但這些未來將打造5G路由器的業者卻不重視裝置的安全 性,可能使得5G裝置沿用4G、3G甚至是2G裝置的程式碼。
安全研究人員表示,他們只用了少數的4G路由器作為測試樣本,便可發現這些裝置有多不安全且令人感到沮喪。
Pen Test Partners羅列了各種品牌的行動網路裝置漏洞,指稱中興(ZTE)MF910行動網卡路由器的Web伺服器韌體藏有許多除錯功能,還有個遠端系統日 誌模式,可用來回報除錯資訊,而其它的漏洞則包括管理員密碼洩露、除錯端點含有命令注入漏洞、在某個測試網頁含有跨站指令碼缺口,串連上述漏洞即可透過一 個惡意網頁於路由器上執行任意程式。
不過,當中興收到通知時,宣稱已終止MF910產品壽命,因此並不打算修補,但Pen Test Partners卻依然在中興官網發現MF910的銷售網頁。
另一個中興產品ZTE MF910則含有資訊外洩(CVE-2019-3411)與任意命令執行(CVE-2019-3412)兩個漏洞,已被中興修補。
Netgear產品則含有可繞過跨站請求偽造保護的CVE-2019-14526漏洞,以及驗證後命令注入漏洞。至於華為的相關產品也含有驗證後服務阻斷 漏洞,TP-Link路由器則含有驗證前命令注入(CVE-2019-12103)與驗證後命令注入(CVE-2019-12104)兩個漏洞
計中資訊電
腦教室
校園無線網路電子郵件
網頁空間資
訊相關規範 電 話:02-6639-6688 分機83404
地 址:臺北市和平東路2段134號
計算機與網路中心 版權所有