讓 您 上 網 購 物 更 加 安 心 - Fortify for Netscape
曷歇
<本文刊載於 1999 年 2 月份 Run!PC 雜誌>
您在網路上用信用卡買過東西嗎? 耽心信用卡卡號被別人知道嗎? 使用 Netscape 瀏覽器的讀者快讀本文...。
Internet「下放」到民間也已經有好幾年的時間了。大家從一開始的瞧新鮮、抓檔案、逛網站, 逐漸進入到眾多商家引頸期盼多年的電子商務 (e-business) 時代。
儘管各大資訊廠商使出渾身解數推廣所謂的「電子錢包」(e-wallet), 但至少目前為止, 最普遍、通行的線上購物方式仍是透過信用卡。讀者或許曾被人告誡過, 絕對不要在網路上傳送信用卡號碼。也或許有讀者說, 只要瀏覽器是在 SSL 的保密模式下,
就可以不用耽心。到底網上購物安不安全呢?
SSL
不論是網景或是微軟的瀏覽器, 都提供有 SSL (Secure Socket Layer) 的支援。SSL 的詳細工作原理筆者本身也不甚了解, 不敢在此誤導讀者。但基本上來說,
只要瀏覽器讀取到特定的網頁, 受到指示進入保密的狀態時 (瀏覽器下方的狀態列會有鎖頭出現), 要傳送的資料都會經過編碼 (encrypted) 之後才傳送出去。
讀者或許聽人說過, Internet
上的資料安全性很差。這是因為當資料從您的電腦傳送到對方的伺服器時, 途中會經過許多其它的伺服主機。您不知道是否會有駭客 (hacker) 在途中攔截您的資料。若是一般的書信、網頁資料倒也便罷, 若是信用卡號碼被攔那就糟糕了。這就是為什麼要藉助於
SSL, 將資料經過編碼之後再行傳送, 這樣即使是半路資料被攔也沒有太大的關係。請注意, 是沒有太大的關係 ,並不是沒有關係。
40-bit vs. 128-bit
SSL 在對資料進行編碼/解碼 (decrypt) 時,
會利用到長度不一的 key, 視瀏覽器的能力及所連接到的伺服器而異。由於美國政府的規定, 所有出口的軟體產品 (包括跨國下傳), 都不得有太高的編碼功能; 換言之, 就是 key 的長度不得太長。以瀏覽器來說, 美國版本可以是 128-bit 的 key 長度,
而國際出口版則只能有 40-bit 的 key 長度。
有關這些編碼/解碼 key 長度的詳細資料, 筆者仍是不敢在此多提, 爾後筆者研究透徹些, 再另行為文為讀者介紹。不過基本上來說, key 的長度越長, 資料就越難被人破解。
以網路上的文獻顯示, 現在這種出口等級的 40-bit key 長度的編碼, 只要大型一點的機關或是企業, 用夠強的硬體運算, 幾乎可以即時破解出經過編碼的資料。難道我們不是生為美國人, 就必須忍受這種次級水準的保密程度嗎?
Fortify for Netscape
儘管這個世界有許多的不公平、不合理, 但總是有人會出來替大家伸張正義的。Fortify 是一家位於澳洲的公司, 他們看不慣美國政府這種唯我獨尊的無理規
定, 於是自行獨立發展 Fortify for Netscape。
Fortify for Netscape 可以讓我們在使用的 Netscape 瀏覽器, 具備有 128-bit key 長度的編碼功能, 跟美國本土所用的版本一樣。它不僅安裝簡單, 而且不須任何額外操作, 您還是用跟以前完全一模一樣的方式來瀏覽網頁。最棒的是,
它是網路上最受歡迎的軟體形式, freeware, 完全免費!
廢話不多說, 我們趕快下傳檔案來安裝。Fortify for Netscape 的網站在 http://www.fortify.net
。筆者撰寫本文時, Windows 版的最新版本為2.1版, 檔名為 fn210w32.exe, 大小約為 643K。
安裝Fortify
Fortify 的安裝十分容易, 2.1 的 Windows 版特別採用 InstallShield
方式一步一步依序安裝, 讀者只須依指示按按鈕即可。安裝完成後, 會出現 Fortify for Netscape的 Welcome 歡迎視窗, 在此按下 Start 鈕, 開始修改您的瀏覽器。
圖一 Fortify 找到 Netscape 瀏覽器的主程式所在
首先,如圖一所示,
Fortify 會搜尋您的硬碟, 找出 Netscape 瀏覽器主程式的所在位置。若路徑檔名正確無誤, 讀者請在上方點一下該路徑檔名, 讓下方的 Selected web browser: 欄位出現該路徑檔名, 再按下 Proceed 鈕。
圖二 Fortify 辨識出 Netscape 瀏覽器為出口等級
接著會出現如
圖二的視窗, Fortify 辨認出 Netscape 瀏覽器為出口等級 (Export grade), 並問您要不要 fortify 它。Forify 原來就是加強防禦工事的意思, "Do you wish to fortify..."
就是問您要不要加強現有 Netscape 瀏覽器的編碼 key 長度。我們當然選 Yes (是)。
再來 Fortify 便會修改您的 netscape.exe 主程式檔, 以支援 128-bit 的 key 長度。別耽心, 在修改之前, Fortify
會問您是否把原來的主程式備份成 .sav 檔。所以您只管放心大膽地讓 Fortify 去修改您的 Netscape 程式吧!
測試 Fortify
在修改好主程式之後, Fortify 安裝程式會問您是否要測試您的 Netscape 瀏覽器現在的
SSL 編碼能力。若您是在連線狀態, 可以回答 Yes, 連接到 Fortify 的 SSL Encryption Check 的網頁。
圖三 透過 Fortify 的測試網頁顯示, 瀏覽器已支援 128-bit key 長度
如圖三
所示, 經過 Fortify 修改之後的瀏覽器, 現在的 SSL 編碼等級是 RC4 cipher, 128-bit key。若沒有被 Fortify 過, 則只有 40-bit key 的程度。讀者可以看到網頁上的圖示, 沒有經過編碼的資料如同一張完全沒有保護的文件。56-bit
key以下的編碼保護如同將文件放到信封中一般。而 128-bit key 以上的編碼保護則相當於將文件放到保險箱之中一樣。由此可以看出原來 40-bit key 的保密其實是相當薄弱的。
圖四 從瀏覽器的 About 頁看出已達美國的保密等級
若讀者沒有在連線狀態, 可以直接開啟 Netscape 瀏覽器, 從 Help 選單選取 About Communicator...(或
Navigator)。在出現的 about: 網頁中, 您可以看到 This version supports U.S. security with RSA Public Key Cryptography... 的字樣。這樣就表示您的 Netscape 瀏覽器, 現在跟美國人所使用的是同樣的保密等級。
當然,
若您不太相信 Fortify, 在安裝之後不想用, 可以再執行一次 Fortify for Netscape, 用跟安裝一樣的步驟, 將已經 fortify 過的 Netscape 瀏覽器 de-fortify 掉 (如圖五
)。
圖五 若不想用 Fortify, 可以將 fortified 的瀏覽器 de-fortify
注意事項
請讀者特別注意, Fortify for Netscape 是針對英文版本的 Netscape 瀏覽器而寫, 所以是否能針對中文版本進行修改不得而知。筆者手邊也沒有中文版本的 Netscape 瀏覽器, 所以無法進行測試,
在此先跟讀者說聲抱歉。
雖然本文中所介紹的 Fortify for Netscape 是 Windows 版本的, 但其實 Fortify for Netscape 所支援的作業系統平台眾多。舉凡 Windows、OS/2、Sun Solaris 及 SunOS、Linux、FreeBSD、DEC、SGI
等都有支援。使用其它作業平台的讀者請到 Fortify for Netscape 的網站去下傳相對應的版本。
至於使用微軟 IE 的讀者, Fortify for Netscape 並不適用於您。由於微軟是美國公司, 所以您恐怕只能用 40-bit 的 key
長度來做資料的編碼, 無法跟美國的使用者享受同樣的保密等級。
結語
有鑑於在網路上購物的風氣日漸盛行, 所以筆者特別介紹 Fortify for Netscape, 希望能對讀者有些許的助益。不過請注意, 即使已經有
128-bit 的 key 長度, 不代表您的資料萬無一失。但至少在 Fortify 的幫助之下, 資料被有心人士取得的機率已大大降低。筆者在此先祝各位讀者新春快樂, 萬事如意。我們下期見!
