2007年8月5日 星期日

轉貼新聞

原文轉自 : http://www.ithome.com.tw/itadm/article.php?c=44601

================================================
電子發票使用大幅成長
去年一整年只開出五百萬張電子發票,不過今年光是上半年就開出超過七百萬張。

網路購物業者使用電子發票今年大幅成長,去年一整年只開出五百萬張電子發票,不過今年光是上半年就開出超過七百萬張,平均有七成以上的網購族選擇開立電子發票。

資策會創新應用研究所主任王存致表示,目前在網路購物使用電子發票的狀況相當良好,多數消費者也能夠接受,不過目前在B2C的部分僅限於網購業者。至今年為止已有二十家業者申請使用電子發票,但有八家還在建置平台中,因此目前有十二家開始使用。

電子發票好處多

使用電子發票除了可幫業者節省成本之外,也可讓消費者省去人工對獎的麻煩。

興奇科技公關經理宋汝萍表示,利用電子發票系統,一年約替興奇科技省下1500萬元,主要是因為節省了紙本費用及郵寄費用。在網路購物下訂單時,消費者會有三個選擇,郵寄發票、捐贈社福單位,或是開立電子發票。宋汝萍說,目前約有八到九成的消費者都選擇開立電子發票。

另一方面,PChome協理蔡凱文月初在出席電視與型錄購物業者適用電子發票座談會時表示,電子發票替PChome節省許多郵寄紙本發票的成本,他非常看好電子發票的未來。

使用電子發票也可在對獎日由系統自動幫消費者對獎,省去人工對獎的麻煩。宋汝萍表示,五、六月統一發票中獎名單中,就有一位興奇科技的顧客中了兩百萬特獎,是透過電子發票對獎系統核對出來。過去使用紙本發票時,必須付出大量的人力、時間、及成本來處理發票寄送過程,且人工處理方式若出現疏漏,更需追蹤發票流向。

興奇科技表示,以往許多消費者工作忙碌,往往錯失或忘了核對發票的日期。透過「電子發票作業」流程,可以將所有電子發票的號碼輸入電腦中,再透過系統自動核對。若消費者的電子發票中獎,網購業者會先透過電子郵件告知中獎人,再以掛號郵寄紙本發票。

不過除了網路購物外,目前資策會也在推動電視購物及型錄業者使用電子發票,王存致說,目前接觸到的業者都很有意願,技術上也都沒有問題,只是仍在和賦稅署溝通。「不過終極目標是讓電子發票成為政府認可的第六種發票。」王存致說。

轉貼新聞

原文轉自 : http://www.ithome.com.tw/itadm/article.php?c=44662

================================

黑帽大會研究人員展示如何攻陷AJAX網站


為了提供Web 2.0服務,網站業者大量使用AJAX技術建置網站,只是,AJAX的特性亦擴大使用者端的權限及存取伺服器資料的能力,讓駭客有機可趁。
網路安全業者SPI Dynamics在黑帽大會上展示如何攻陷AJAX網站,呼籲開發人員要多加注意AJAX的安全性。

近來Web 2.0概念大行其道,而為了提供Web 2.0服務,網站業者大量使用AJAX(Asynchronous JavaScript and XML)技術建置網站,以讓網站與使用者之間的互動更為順暢。

透過AJAX建置網站的一個重要特性為─它允許在使用者輸入一個要求或資料時,網頁只需要重新更新特定部份,而不用全頁更新,而當中的一個關鍵是使用者的瀏覽器可與網站伺服器互動,取得伺服器中的部份資料,讓伺服器不用擔負整個網頁的更新。

只是,這樣的特性亦擴大使用者端的權限及存取伺服器資料的能力,讓駭客有機可趁。

SPI Dynamics研究人員Billy Hoffman及Bryan Sullivan利用現今大多數AJAX開發人員所用的技術建置了一個假想的旅遊網站─HackerVacations.com,網站上提供飯店或機票的訂購服務,然後在黑帽會議上展示如何攻陷該網站,例如在沒有付錢或是付了較少錢的情況下仍能訂位或購票成功。

Billy Hoffman說,比起傳統的網站應用程式,AJAX應用程式在客戶端執行更多的程式,這讓駭客可以了解AJAX應用程式的功能,包括功能名稱、資料格式、控制回圈及資料儲存方式等,而那些建置在基礎架構上的離線AJAX應用程式,像是Google Gears或Dojo等可能更容易引發資料洩露。

Bryan Sullivan表示,AJAX應用程式同時結合了傳統網站應用程式及桌面應用程式最好的可用性,只是,它一樣也承受了來自兩個平台的安全問題,AJAX實際上是一個潛在安全漏洞的完美風暴。

SPI Dynamics為一專門提供網站應用程式或網路服務安全解決方案的業者,今年3月也曾在ShmooCon駭客會議中展示了Javascript攻擊程式。Javascript也是Web 2.0網站主要的建置工具之一,當時Billy Hoffman展示了用JavaScript所開發的Jikto漏洞偵測工具,它可偵測網站或線上應用程式的漏洞,還能載入使用者瀏覽器中,並搜集使用者電腦中的資料,再將這些漏洞及個人資料回傳到駭客手中。