GWA....不是這樣說的吧

GWA....不是這樣說的吧！我都還沒玩到你就下架了：



Google Web Accelerator網頁加速軟體踢到鐵板？





才推出沒幾天的網頁加速軟體Google Web Accelerator，在引爆諸多安全疑慮後，隨即閃電下檔。為什麼Google Web Accelerator沒能像其他的Google軟體一樣受到歡迎？到底有哪些安全問題受到大家質疑呢？且看我們的事件始末追蹤。

Google在5月4日推出名為Google Web Accelerator（GWA）的網頁加速軟體，雖然是以增進寬頻網路使用者的網頁瀏覽速度為目的，但因為其網頁存取皆透過GWA專屬的Google伺服器，衍生眾多網路安全問題，也引起媒體和網友一片撻伐；Google只得灰頭土臉地以使用者已達上限為由，迅速從網頁上撤下GWA。Google過去從沒如此不光彩的記錄。到底Google Web Accelerator是什麼？它可能造成的安全問題又是哪些？

》GWA加速網頁運作的原理：

Google Web Accelerator是Google專為寬頻網路使用者推出的網頁瀏覽加速器，基本上是以代理伺服器的作業方式來進行網頁加速。目前只有beta測試版。它的安裝及使用極為簡單，你幾乎只需選擇自己的連線方式即可馬上享受GWA帶來的便利。一經安裝、執行，它就會將使用者的網頁請求透過GWA伺服器發送，藉由儲存經常瀏覽的網頁、只下載網頁更新部分、（在傳到使用者電腦前）將資料壓縮等方式讓網頁下載的速度變快。另外，它還可以管控連線狀態，減少延遲的時間。GWA主要相容於IE和Firefox，其他瀏覽器要使用GWA的話，必須將HTTP proxy設為「127.0.0.1:9001」。需要注意的是，GWA只能加快網頁的下載，對於HTTPS協定的加密網頁及檔案傳輸並無助益。

執行GWA開啟網頁時，在網頁瀏覽器的右上角會顯示你因此節省的網頁開啟時間。GWA會同時出現在網頁瀏覽器及系統工具列上，用滑鼠左鍵點一下就可停止或執行GWA（如圖）。

》GWA造成的四大安全疑慮：

1.忽略JavaScript認證，造成網路應用程式發生問題

GWA會幫使用者預先走遍並取回網頁上的每一個連結的網頁（也就是預先載回所有網頁），也因此，它會略過JaveScript認證對話框，而直接執行網頁上的每一個功能選項，如果網頁上有「刪除」或「取消」等選項，就可能會造成網路程式錯亂，因為這些選項都是以授權方式選取的（利用使用者的cookie進行）。

2.能以他人帳號登入網頁

有許多網友發現使用GWA後，在登入一些需要帳號及密碼才能進入的網站時，常會自動以他人的帳號登入；這是因為GWA伺服器會快取使用者的cookies。為防止有人利用GWA這個大漏洞冒充別人進入網站，網路上也出現阻止GWA存取網站內容的方法，例如直接將GWA伺服器的IP或網段（目前是從72.14.192.0到72.14.192.255）整個封鎖起來，以免天下大亂。

3.個人資訊恐被Google存取

這就是為何有人質疑GWA是一種間諜軟體的原因──雖然GWA是使用者認可下安裝到自己的電腦裡的，但Google可能因此取得大量個人資訊，無論Google會如何處置這些個人資訊，對使用者來說都是一種安全危機。

4.複製網頁以騙取使用者填入信用資料或密碼

如果GWA廣泛被網友使用，難保有不肖人士以網路釣魚（Phishing）的方式，以假造的複製網頁來騙取個人信用資料或密碼，影響網路交易的運作。

雖然有這些安全疑慮存在，使用者還是可以依個人需求評估GWA使用的必要性，因為GWA除了能加速網頁的下載，另也有「隧道」（tunnel）的功能，可以幫使用者成功躲過網管的防火牆，連上被封鎖的網頁，聽說許多中國的網友最近就常常利用這種方式連上被封鎖的外國網站呢！不過由於Google已經暫停GWA的下載，想玩玩GWA的話，只好等Google研究出各種安全問題的解決之道，再度開放下載後才行了。

Google Web Accelerator網站網址： http://webaccelerator.google.com/

禁止GWA進入你的網站的詳細方法解說：
http://fantomaster.com/fantomNews/archives/2005/05/05/fantomtiphow-to-block-google%e2%80%99s-web-accelerator/