jplop wrote:
>>只是"微軟和屏蔽...(恕刪)
前者我是沒有試過,不過這倒是自架過濾DNS的快速方案,除了Windows Update指定外其他全部轉發到ISP的DNS就好了;至於最後的論述只針對釣魚網站就有誤區了,最近拜Let's Encrypt所賜採用HTTPS的網站增加了不少沒錯,許多有一定規模的網站也的確一直都有全站佈署使用,但是搭配HSTS讓使用者無法忽略憑證問題的網站目前卻很少(並且也要之前瀏覽時有收到正確位址的回應才行,假設使用者只有輸入不含https://的網址並且之前沒有連線過或是之前連線過但該網站並沒有傳輸HSTS回應那麼就很可能會破功),有很多沒有觀念的使用者看見瀏覽器的警告畫面也會選擇忽略並點選繼續瀏覽(某部分還得拜許多學校單位自簽憑證所賜),並且也不是所有使用網域名稱做傳輸的應用程式都會使用加密協定保障連線對象正確安全,萬一某軟體的網域被他人的DNS更改導向有害的加料版,而這時使用者又瀏覽並下載或按下了更新按鈕/軟體強制自動更新(就像這篇要防的Windows Update一樣)的時候總不能說是使用那些軟體的人活該吧?因此至少目前光靠HTTPS的SSL加密協定仍然會有不足。
補充:hosts其實也有同步軟體可以做到自動佈署更新,不過新增規則當然沒有在DNS內使用萬用字元來得方便快速沒錯就是了。
