漏洞/資安訊息警訊發布編號ICST-ANA-2014-0025發布時間Thu Oct 16 18:33:33 CST 2014事件類型漏洞預警發現時間Thu Oct 16 00:00:00 CST 2014警訊名稱SSLv3加密協定存在中間人攻擊弱點，弱點編號CVE-2014-3566 (POODLE)內容說明近期美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號CVE-2014-3566 (POODLE) [1-5]，透過該弱點駭客可在客戶端與伺服器兩端均使用SSLv3加密協定建立連線時進行中間人攻擊，藉由攔截與修改HTTPS封包資訊的方式，嘗試向伺服器主機建立連線，進而獲取使用者的相關傳輸數據與機敏資訊(cookies, and/or authorization header contents)。為確保平台安全性，請各機關確認所屬瀏覽器設定與系統平台(工作站主機及伺服器)所使用的SSL/TLS版本資訊，建議停用SSLv3支援選項改以TLSv1.2作為加密協定。如系統平台不支援TLS加密連線機制，請儘速更新修補SSL相關套件。影響平台使用SSLv3加密連線機制的系統平台(工作站主機及伺服器)影響等級中建議措施【系統平台(工作站主機及伺服器)】1.停用SSL加密機制改以TLS確保加密連線機制的強健性停用SSL相關加密機制(SSLv3與SSLv2)，並建議以TLS(v1.2)進行加密連線作業。如系統平台使用Apache作為網站伺服器，可調整SSL設定為 "SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2" 以停用對SSLv3的支援，並啟用TLS加密連線機制。2.對於僅支援SSL的系統平台，請儘速至各系統官方網頁更新修補SSL相關套件。目前OpenSSL官方已針對SSLv3 (POODLE)弱點發布最新的更新版本，OpenSSL 1.0.1版本使用者請更新至1.0.1j版本[8]。3.參考以下方式確認系統SSL/TLS版本資訊：[工具1] 使用TestSSLServer工具[6] 檢視系統平台上所支援的SSL/TLS加密協定與版本使用指令 "TestSSLServer.exe [IP位置]" 指定系統平台位置資訊，以檢視系統平台(工作站主機及伺服器)所使用的SSL/TLS版本資訊。附件圖1為使用TestSSLServer工具檢視SSL/TLS版本範例，如發現SSLv3(圖1中紅色標示處)，即代表系統平台支援SSLv3的加密機制。[工具2] 使用線上分析工具[7]，檢視系統平台上所支援的SSL/TLS版本資訊。線上工具分析完成後會產出對應的報告資訊，並詳列支援的加密機制，詳見附件圖2，由於有偵測到SSLv3，因此標示為不安全。【使用者端(瀏覽器)】建議參考以下方式確認使用者端瀏覽器所支援的SSL/TLS版本資訊[IE] 瀏覽器工具列-> 網際網路選項->進階->安全性(詳見附件圖3)取消勾選瀏覽器SSL相關加密連線的支援選項[9]，確認開啟TLS加密連線相關設定，調整設定後可透過線上檢查工具[9-10]檢測瀏覽器相關設定是否存在SSLv3 (POODLE) 弱點的風險。參考資料1.http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-35662.https://www.openssl.org/~bodo/ssl-poodle.pdf3.http://arstechnica.com/security/2014/10/ssl-broken-again-in-poodle-attack/4.https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack5.http://www.ithome.com.tw/news/915716.http://www.bolet.org/TestSSLServer/7.https://www.ssllabs.com/ssltest/index.html8.https://www.openssl.org/news/openssl-notes.html9.https://zmap.io/sslv3/10.https://dev.ssllabs.com/ssltest/viewMyClient.html此類通告發送對象為通報應變網頁登記之資安人員。若貴 單位之資安人員有變更，可逕自登入通報應變網頁（https://www.ncert.nat.gov.tw）進行修改。若您仍為貴單位之資安人員但非本事件之處理人員，請協助將此通告告知相關處理人員。

如果您對此通告的內容有疑問或有關於此事件的建議，請勿直接回覆此信件，請以下述聯絡資訊與我們連絡。國家資通安全會報 技術服務中心 (http://www.icst.org.tw/)
地 址： 台北市富陽街116號
聯絡電話： 02-27339922
傳真電話： 02-27331655
電子郵件信箱： service@icst.org.tw

CADCH取得臺北市商業處商業登記主題網站設計維護案，提供Coding重新編寫。使用DIV取代TABLE網站標籤、提供後續增修元件UFO檔、將所有FLASH抽換成替代圖片。原本網站採用切版方式設計，為了維持網站外觀不變，卻又要方便編修，我們重新編寫設計語法，以圖層概念取代單層切版的網站設計。由CADCH提供後續網站修改教學，可以讓IT人員接手後續維護工作。

第一次會議討論
CADCH提供
報價單
變更需求或架構
第二次會議討論
進行簽約程序
由業主提供網頁內容文字
版型提案
業主不同意提案
重新設計提案
業主同意提案
開始製作

認識錫安環境科技有限公司錫安環境科技有限公司，鑒於現今環保問題層出不窮，且法令規範日趨嚴謹，為使避免各事業單位因不瞭解環保相關法令造成困擾且能專心致力於生產，創造經濟成就，更為我們生存環境貢獻一己之力。錫安環境科技積極投入污染防治工程之設計、規劃、施工、監造、代操作等服務。為了使業者免去繁雜申請手續節省寶貴時間，錫安亦提供各項許可申請、環工技師簽證、環保相關法令諮詢及顧問等業務。業務中獨立專責有關空氣污染防制設備的規劃設計製造承裝及維修等服務，並且擁有空氣污染防制設備製造組裝工廠，除能降低客戶的設置成本外更能提供快速便捷的回應機制。案例介紹網站舜全電子股份有限公司空污防治設備案例和鑫光電股份有限公司空污防治設備案例光聯科技股份有限公司空污防治設備案例網站以綠色環保為設計方向，文網股份有限公司為錫安環境科技導入XOOPS入口網頁系統，上方主選單跟首頁主視覺大圖與廣告BANNER皆有後台管理功能，可以隨時更換內容將其環境科技的專業表達在網頁中。為了讓這些豐富的內容更容易出現在搜索引擎中，我們除了提供關鍵字填入欄位外，在主選單與其他導覽中使用jQuery製作，提供網路蜘蛛便捷的道路，同時針對行動裝置無法呈現FLASH的問題，我們以jQuery程式替代動畫，使用者會以jQuery展示動態主視覺。環保設計感的公司網頁首頁上半部採用網站圖庫系統為主視覺，佈景使用jQuery Plugin呈現主視覺，內容區採用正規白色底色加入材質紋路，主視覺圖片皆有後台可以管理，上傳圖片經過GD2縮圖，自動裁切成jQuery Plugin所需要的尺寸，管理員不需要學習網站設計即可以自行管理廣告banner與主視覺。

讓商業購物網頁擁有ibon繳費功能，網頁架設工作中有一半是在程式設計，我們程式與統一客樂得串接，線上取得ibon進行付款功能。

圖片來源：杭州铁牛机械杭州鐵牛機械是一家成立於1972年的40多年的企業,初期是以起重機為主要產品,鐵牛的母公司為台灣知名的永明水泥混凝土構件廠,於1992年結合兩家公司的經驗與技術共同開發了管片鋼模除了台灣之外也同時外銷日本與東南亞等地。 杭州鐵牛機械有限公司於2004年在國家級杭州蕭山經濟技術開發區江東工業園區成立,。工廠佔地面積66,000m2，其中鋼結構廠房面積24,000m2。主要產品為隧道管片鋼模具、起重機、鋼製環片及各類高精密鋼結構。 我們提供全後台式管理介面，完全可以由一般的操作人員維護網頁，透過後台容錯機製保持網站呈現專業水平。 主選單管理系統： 管理員可以自行設定選單文字與超連結，並且利用html5技術，於後台使用拖拉方式排列第二階層選單。 動態主視覺管理程式： 擁有權限的維護人員，可以於後台自行管理首頁主視覺圖片，並調整順序與圖片超連結，提供動態文字管理功能，廣告圖片可以下關鍵字敘述，提升網頁排名。 頁面模組： 可以自行修改公司簡介、宗旨、沿革，每頁可以自定版型。

成鼎律師事務所的宗旨，是成為您的「家庭律師」與「企業律師」！ 現代社會，法律就像空氣一樣無處不在。但為什麼我們只聽過「家庭醫生」，沒聽過家庭律師或企業律師呢？導致台灣社會，瀰漫著對法律的不信任感。法律顧問服務項目購買法律顧問證書 一年期法律顧問 兩年期法律顧問 訴訟及強制執行 非訟事件諮詢 成鼎很注重專業形象，網站圖片皆是由法務專員親自採購上傳，文網為事務所導入XOOPS CMS系統，增加了許多後台功能，法務與律師親力親為，一同充實內容，將專業與用心表達在網頁中。為了讓這些豐富的內容更容易出現在搜索引擎中，我們除了使用關鍵字外，在主選單與其他導覽中使用jQuery製作，提供網路蜘蛛便捷的道路，同時針對行動裝置無法呈現FLASH的問題，我們以jQuery程式替代動畫，使用者會以jQuery展示動態主視覺。文章形式的網站使用同一套XOOPS佈景，首頁使用jQuery Plugin呈現主視覺，主視覺圖片皆有後台可以管理，上傳圖片經過GD2縮圖，自動裁切成jQuery Plugin所需要的尺寸，管理員不需要學習網站設計或美工軟體即可以自行管理主視覺，內容網站則將主視覺關閉，讓文章版面不被主視覺影響。

本名單為多個XOOPS客戶log記錄所累積的成果，有可能會誤擋國外使用者，我們不負責名單產生的後續問題，名單持續更新於本網站。
^101.66|^107.155.75|^107.158|^108.62|^108.163|^108.178|^109.169|^109.200|^110.89|^111.1.36|^112.124|^112.220|
^112.111|^117.173|^117.26|^119.188|^120.192|^120.33|^120.37|^120.43|^121.199|^122.96|^123.125|^130.185|^141.105|
^142.0|^142.22|^142.234|^142.91|^151.237|^162.218|^172.245|^172.246|^173|^174.122|^175.42|^175.44|^176.31|^176.56|
^176.61|^177.220|^178.137|^178.216|^178.238|^178.255.45|^178.32|^178.33|^178.63|^178.73|^180.180|^181.112|^182.48|
^184|^185.25|^185.3|^187.32|^188|^190.181|^191.234|^192.119|^192.161|^192.165|^192.184|^192.208|^192.210|^192.227|
^192.3|^192.95|^195.69|^196.196|^198.2|^198.12|^198.143|^198.50|^198.52|^198.71|^198.98|^199.119|^199.180|^199.187|
^199.195|^199.91|^2.133|^201.221|^202.116|^203.161|^209.148|^212.175|^213.37|^216.152|^216.59|^217.195|^219.132|
^219.135|^221.130|^222.124|^222.77|^23.19|^23.226|^23.231|^23.245|^23.254|^23.29|^23.94|^27.106|^27.153|^27.159|
^31.169|^31.215|^31.6|^37.220|^37.235|^37.57|^37.59|^37.72|^37.203|^41.205|^46.22.166|^46.29|^46.37|^46.4|^46.105|
^46.249|^5.133|^5.134|^5.135|^5.157|^5.34|^5.39|^5.9|^50.115|^54.207|^59.46|^61.55|^62.4.2|^64.120|^64.182|^66.118|
^66.219|^66.248|^67.220.144|^68.68|^69.12|^69.147|^69.167|^69.175|^69.31|^69.58|^70.32.34|^71.19|^74.221|^75.102|
^75.127|^76.164|^78.129.252|^78.131|^79.140|^81.4|^83.28|^87.98|^88.135|^89.44|^89.46|^89.47|^89.66|^89.70|^91.108|
^91.121|^91.192|^91.200|^91.207|^91.219|^91.228|^91.236|^92.114|^93.182|^94.23|^94.242|^96.127|^96.44

今天遇到一個案例，某公司取得義大利原廠【總】代理，製作了跟原廠相同的網頁，也在網頁上使用原廠的商標。
該公司被控侵權了！取得原廠總代理時需要取得商標使用授權，並且註明可以使用到那些地方，如果架設網頁，需要取得同意，商標可以出現在那些國家的主機空間內。
原廠對於總代理的定義可以非常廣義，也可以非常狹義，保障自己最佳方式就是明定於代理合約中，如果不審慎，您可能遇到下面幾個問題：原廠不同意海外總代理自行架設網頁。原廠同意海外總代理自行架設網頁，但是不同意網頁中使用其商標，或是有使用但書。原廠網頁內容部份為第三方所有，總代理直接使用，遭到第三方控告。原廠同意總代理於特定國家使用其商標與內容，而總代理將主機設立在不受允許的國家而違反合約。除了以上問題外，還有許多細節，歡迎想要設計網站的老闆與CADCH聯絡，我們的專案企劃會為您解說，並提醒您注意事項。

自行架設主機是大型企業設立網頁的選項之一，跟租用IDC機房的虛擬主機相比較，成本高出許多。
我們設計了比較表格提供網站比較畫面。

本公司專長設計XOOPS佈景，針對佈景設計標籤我們定義出SOP的規範，網站設計師可以用以參考。

為配合近期台灣國外貨幣轉換相關法規的變更，PayPal 將調整台灣 PayPal 用戶的提領流程。
目前台灣PayPal用戶的提領款項方式：
自2014年3月31日起，原本的提領款項方式將正式停止服務。
用戶需在玉山銀行開立帳戶並透過「玉山全球通」連結您的 PayPal 帳戶，便可以提領款項。新的提款政策將帶來2大好處：
1. 提領時間縮短：由原先的7-9個工作天縮短 為3-5個工作天。
2. 提領幣別增加：除了原先能提領的新台幣，現在還可以提領美金。 更多資訊請參考下列連結PayPal官方網頁公告玉山全球通與PayPal合作的公告PayPal提領流程調整相關FAQ
PayPal相關問題，請洽PayPal客服電話：02-8729-6625
玉山銀行開戶申請，請洽玉山銀行客服電話：0800-30-1313
想了解更多CADCH購物網頁相關資訊？ 歡迎撥打客服專線：03-4681000