網頁設計

UI UX設計是什麼?用9個提高網站轉換率的方法告訴你[轉載自TRANSBIZ]

你是不是很常聽到UI、UX設計師,但卻搞不懂UI、UX到底是什麼,究竟在工作項目上又有哪些差別呢?這篇文章讓你快速先搞懂UI、UX,並告訴你9個關於網站的UX設計提高轉換率的方法。讓我們來透過幾張圖瞭解UI、UX的差別。簡單來說,UI(User Interface)使用者介面,主要專業是設計頁面上的功能、顧及使用的便利性與整個設計的美學,網站的美觀性和他息息相關;UX(User Experience)使用者體驗,則是根據使用者的習慣,安排整個網站頁面的內容規劃,像是哪些區塊的內容要先在網站上出現,行動呼籲按鈕(Call to Action, CTA)的位置應該擺在哪裡。圖片來源:UI-UX Services...

Read More

【資安日報】5月11日,資安業者Dragos遭到網路攻擊,駭客企圖假冒即將就職的員工入侵[轉載自IThome]

文/周峻佑 | 2023-05-11發表 員工就職的流程竟成為駭客意圖入侵資安業者的管道!資安業者Dragos證實近日遭到使用勒索軟體的駭客組織攻擊,駭客假冒尚未就職的員工,通過相關流程並取得部分存取權限,所幸該公司察覺異狀採取行動而沒有成功。但離譜的是,駭客事後竟向其高階主管開口索討贖金,揚言不付錢就會對其家人不利。WordPress網站的外掛程式漏洞也相當值得留意,有資安業者揭露外掛程式Advanced Custom Fields的漏洞CVE-2023-30777,並指出至少7成網站曝險,呼籲網站管理者要儘速處理。 【攻擊與威脅】資安業者Dragos證實遭遇資安事故,駭客企圖入侵其網路環境並進行勒索專精工控領域的資安業者Dragos證實,5月8日有已知的網路犯罪組織企圖對他們發動攻擊及勒索,所幸駭客沒有成功,該公司亦表示旗下系統皆未遭到入侵。該公司指出,駭客針對即將任職的業務人員下手,在該名員工尚未到職之前藉由其電子郵件信箱取得存取權限,並完成入職流程,然後存取新進業務人員的SharePoint系統、合約管理系統,駭客讀取其中1份含有客戶IP位址的調查報告,該公司已對此客戶進行通報。而對於攻擊者的身分,Dragos透露該組織會使用勒索軟體加密檔案,但這些駭客在尚未得手的情況下,竟向Dragos高階主管進行勒索,並聲稱要對他們的家人不利。對此,Dragos對於就職員工的流程加入額外的驗證程序,以防類似的攻擊事件再度發生。 WordPress外掛程式Advanced Custom Fields出現漏洞,百萬網站曝險資安業者Patchstack揭露WordPress外掛程式Advanced Custom Fields的漏洞CVE-2023-30777(未提供CVSS風險評分),此為跨網站指令碼(XSS)漏洞,影響免費版與付費版用戶,攻擊者若是具備存取此外掛程式的權限,就有可能在採用預設配置部署的網站上觸發漏洞,且無需通過額外的身分驗證,開發者獲報後發布6.1.6版予以修補。由於有超過2百萬個網站安裝了此外掛程式,但截至5月11日仍有逾7成使用6.0以下的版本,使得研究人員呼籲網站管理者應儘速升級。北韓駭客Kimsuky利用惡意軟體ReconShark跟蹤使用者資安業者SentinelOne揭露北韓駭客組織Kimsuky的攻擊行動,駭客透過特製的網路釣魚郵件,假借政治議題來引誘收信人上當──例如,中國與北韓之間的核武協商,或是俄羅斯與烏克蘭之間仍在進行的戰爭等,意圖散布惡意軟體ReconShark。在其中一起事故裡,駭客針對名為Korea...

Read More

SDGs、ESG有什麼不同?兩者如何對照?一張表帶你看懂[轉載自未來城市]

SDGs、ESG可找出對應關係,並為質化的SDGs提供量化指標。圖片來源:Shutterstock 製圖:李芸 2022-01-04編譯.王茜穎SDGs、ESG,是繼元宇宙(metaverse)之外網上最夯的關鍵字,縣市長、媒體名嘴、企業總裁都在談,但你分得清楚嗎?SDGs和ESG有哪些不同?雖然在概念上,SDGs和ESG都想透過解決環境和社會問題、實現永續社會,但在功能和適用對象上都不一樣喔! SDGs是什麼?目標導向,沒有人是局外人SDGs是「2030永續發展目標」(Sustainable Development Goals)的縮寫,是2000年聯合國「千禧年發展目標」(Millennium Development Goals, MDGs)的更新版。當年的目標是在15年內,成功消滅貧窮饑餓、普及基礎教育、促進兩性平等、降低兒童死亡率、改善產婦保健、對抗愛滋等八項目標。2015年驗收時,仍力有未逮,加上氣候危機急速惡化,聯合國繼而提出「2030永續發展目標」,擴張到17項核心目標,內容涵蓋終結貧窮、消除飢餓、性別平權、潔淨水源、可負擔的綠能、責任消費與生產、氣候行動等,跨經濟、社會、環境三大面向;其下又分成169項細項指標,目的是在2030年之前,引領全球齊力,邁向永續。但這個更新版,不是目標翻倍這麼簡單,它的問題意識全然不同。儘管部份目標重疊,MDGs針對的是開發中國家,認定這些問題是開發中國家的問題。SDGs則認知到,富國必須為窮國的貧窮、飢餓、環境破壞等負起很大的責任。因此,這17項目標適用所有國家,還進一步擴大到企業、地方政府、公民社會和個人。SDGs更強調永續目標間密不可分的關係,有賴上至國家、政府、企業,下至公民團體、個人等的跨部門整合與合作,沒有人是局外人。即使SDGs沒有法律約束力,許多企業仍主動將之納入業務推動的方向。原因很多,一方面是降低持續營運的長期風險,提升企業形象和價值;另一方面也是回應潛在的市場需求,抓住新商機。2017年的世界經濟論壇便曾預估,SDGs能帶來高達12兆美元(約334兆台幣)的經濟價值。 你可能也有興趣:永續發展目標SDGs整理包・SDGs有哪17項目標?目標核心與國內外成功案例一次看・什麼是SDGs永續發展城市?為何台灣愈來愈多縣市在做SDGs?・SDGs自我檢視報告怎麼做?城市發表VLR要留意哪四大重點?・個人也能做SDGs!個人版SDGs是什麼?有哪些目標? ESG是什麼?企業專屬,達成目的的手段與過程那ESG是什麼呢?ESG分別取自環境(Environmental)、社會(Social)與治理(Governance)三個英文字的第一個字母。更細緻的看,「環境」涵蓋減碳和保護自然環境;「社會」針對改善工作環境、促進多元;「治理」是指公平、透明的管理,並主動揭露訊息。三個面向,起碼有兩個跟SDGs重疊,雖然系出同源,都是聯合國出品,但ESG只適用於企業。傳統上,企業只關心EPS(Earnings Per...

Read More

【資安日報】3月29日,歐盟刑警組織提出警告,駭客大肆利用ChatGPT發動網釣攻擊、詐騙、製作惡意程式[轉載自IThome]

駭客發動與ChatGPT相關的攻擊行動日益頻繁,包含利用該機器學習語言模型來製作釣魚信件,或是假借提供相關應用程式來散布惡意軟體等。這樣的情況也引起歐洲警方的關注,並指出他們看到駭客運用此種機器學習模型的數種型態攻擊手法。除了ChatGPT相關攻擊橫行,商業郵件詐騙(BEC)也相當值得留意。近日美國聯邦警查局(FBI)提出警告,駭客假冒合作廠商的名義發動相關攻擊,但與過往不同的是,這些駭客現在會使用延遲付款方式,使得受害廠商不易及早察覺詐騙而難以追回貨款。而在面臨BEC攻擊行動之外,執法人員也透過反向操作、設下誘餌來找出網路罪犯。例如,英國國家刑事局(NCA)就假借提供DDoS租賃服務(DDoS-for-Hire)的名義,讓想要租用此種服務發動攻擊的駭客上當。 【攻擊與威脅】歐洲刑警組織警告網路罪犯濫用ChatGPT機器學習模型ChatGPT被用於攻擊行動的現象日益頻繁,這樣的情況也引起警方的高度重視。歐洲刑警組織(Europol)於3月27日提出警告,他們呼籲大家注意,網路罪犯正在濫用ChatGPT與其他的大型語言模型(LLM),例如,他們很可能在詐欺與社交工程領域,利用這種語言模型來模仿特定人士的書寫、說話方式,來產生網路釣魚誘餌,而且,攻擊者也可能將其拿來產生假訊息。再者,也有人將其用於製作惡意程式,在這樣的狀況下,攻擊者即便自身無開發能力,也有機會製作相關工具。 美國警告駭客假借採購名義進行商業郵件詐騙美國聯邦調查局(FBI)針對近期的商業郵件詐騙(BEC)態勢提出警告,指出駭客假借當地商家的名義,向目標公司「批發」各式商品,包含了建材、農業器具、電腦硬體、太陽能產品等。為了取信攻擊目標,駭客會冒用真實員工或前員工的姓名犯案,而且,這些駭客也採用了延遲付款的方式,如Net-30或Net-60短期融資的方式,指定在交貨後的30天或60天才付款,並付上偽造的推薦函與W-9貸款表單,從而讓受害公司收不到貨款、察覺上當為時已晚。 勒索軟體為近2年歐洲交通運輸業者的重大威脅歐盟網路安全局針對2021年至2022年10月交通領域的組織遭遇的資安事故進行分析,結果發現,勒索軟體攻擊是頭號威脅,占38%;其次是資料外洩有關威脅(30%)、惡意軟體(17%)。此外,該單位認為,針對交通運輸單位的DDoS攻擊有可能會持續,且機場、火車站、交通主管機關會是駭客的主要目標。 豐田汽車義大利分公司資安出包!市場行銷系統帳密竟在公開網路曝露逾一年半資安新聞網站Cybernews的研究人員於2月14日發現,豐田汽車(Toyota)義大利分公司的網站有資料外洩疑慮,因為該網站的開發環境組態檔案(ENV)暴露在公開網路,時間長達1年半以上,導致該公司的行銷雲Salesforce Marketing Cloud的帳密資料、客製化地圖服務Mapbox的API公開。攻擊者一旦取得這些資料,就有可能拿到該公司客戶的電話、電子郵件信箱等資料,進而以豐田的名義發送惡意簡訊或是釣魚郵件,甚至是推送通知,進行網釣攻擊。而前述的地圖服務API外曝,影響雖然不若行銷雲帳密嚴重,但攻擊者可以對其發送大量查詢請求,導致豐田本身所需支付的費用爆增。 Instagram詐騙傳出以提供時裝購物商城Shein禮物卡為誘餌的事故防毒業者Avast揭露近期的Instagram詐騙攻擊行動,駭客針對英國、澳洲、法國、西班牙、波蘭用戶下手,對方發文聲稱是2023年時裝購物商城Shein禮物卡的幸運兒,並標記一長串的Instragram使用者。若用戶依照指示存取駭客提供的URL,就會被帶往釣魚網站,而該網站會對用戶發出通知訊息,表示時限內完成問卷,就有機會贏得禮物卡,且無論使用者輸入有效答案與否,都會通過審核並要求填寫個人資料,支付些許費用取得禮物卡,然而,受害者最終非但不會拿到禮物卡,還會「被訂閱」來路不明的服務。 臺灣民眾網路詐騙抵抗力有待加強,透過錯誤資訊來確認資訊真偽的比例高達8成金融服務業者Visa針對全球18個市場、6千個成年人進行詐騙話術(Fraudulese)有關的調查,結果發現,一般人大多會擔心親友受騙,但忽略自己也是歹徒行騙的目標,再者,有81%受訪者透過錯誤資訊來確認資訊真偽──有46%主要依據公司名稱與標誌來判斷。此外,對於釣魚郵件橫行的現象,他們發現僅有6成受訪者會檢查是否來自寄件者的電子郵件信箱,且只有47%會確認郵件是否有錯字。而針對臺灣的部分,該公司表示,我國消費者最容易受到「限定期間回應」、「免費贈禮」等關鍵字的引誘。 【漏洞與修補】ChatGPT資料外洩,起因是近期新加入使用的元件出現弱點人工智慧研究實驗室OpenAI於3月24日表示,他們暫時將語音機器學習模型ChatGPT下線,起因是3月20日開始使用的Redis資料庫Python用戶端程式庫redis-py出現臭蟲,導致部分用戶能看到他人的對話。該公司也通報Redis維護團隊,並提供修補程式。此外,該公司進一步調查發現,上述臭蟲疑似還造成部分ChatGPT Plus用戶的支付資訊曝光,約有1.2%的付費用戶受到影響。 【資安防禦措施】以邪治邪!英國設置冒牌DDoS攻擊租賃服務的網站來識別網路罪犯英國國家刑事局(NCA)近日透露,他們設置了多個佯稱提供DDoS租賃服務(DDoS-for-Hire)的網站,目的是識別從事相關攻擊的網路罪犯,這些網站幾可亂真,已有數千人存取,一旦這些人依照網站指示購買相關服務,他們就會被導向另一個網站,告知過程當中已收集相關證據,執法單位將會找上門。NCA表示,他們不會透露經營的網站數量,或是運作的時間有多久。 【資安產業動態】德凱集團買下臺灣資安新創安華聯網檢測認證機構德凱集團(Dekra)於3月28日宣布,他們買下臺灣資安新創安華聯網科技(Onward Security),德凱將整合認證與研發的能量,共同為汽車、醫療、工業、物聯網產業,提供完整的資安合規解決方案。不過,兩家公司的新聞稿並未提及併購金額。在此之前,去年被併購的臺灣新創公司是Cybavo,買下該公司的是穩定幣USD Coin(USDC)發行商Circle。 原文出處:https://www.ithome.com.tw/news/156193...

Read More

小心借用ChatGPT名義來竊取臉書帳號的Chrome擴充套件[轉載自IThome]

一款名為「Quick access to ChatGPT」的Chrome擴充套件,濫用了ChatGPT、Google與Facebook的合法API,可於背景竊取受害者使用服務的已授權對話Cookie,並接管受害者臉書帳號。文/陳曉莉 | 2023-03-15發表圖片來源: Guardio 當紅的ChatGPT持續遭到駭客利用,資安業者Guardio在上周揭露了一款名為「Quick access to ChatGPT」的Chrome擴充套件,它同時濫用了ChatGPT、Google與Facebook的合法API,其中一個主要目的是為了挾持並接管臉書用戶的帳號,特別是存有廣告額度的臉書企業帳號。Guardio是在今年的3月3日偵測到此一變種的惡意ChatGPT擴充套件,發現每天都有超過2,000名使用者安裝該擴充套件,且每一名受害者的臉書帳號都遭竊,無一倖免。Google則是在收到Guardio的通知後,於3月9日將它自Chrome...

Read More

工作用ChatGPT查資料、做摘要?資安專家:千萬不要 [轉自自由時報]

聊天機器人ChatGPT爆紅後,出現越來越多應用方式,也有企業開始用來查資料、做摘要。但資安專家、DEVCORE執行長翁浩正表示,「千萬不要」,因為AI可能會拿來做學習,使得公司資料出現在回答別人的答案中。台灣攻擊型資安公司DEVCORE(戴夫寇爾)迎來創業10週年,今(10日)舉辦 DEVCORE CONFERENCE 2023,以研討會的形式分享白帽駭客經驗。DEVCORE執行長翁浩正提醒,大家使用AI前應留意服務條款(Terms of Use) ,若把ChatGPT應用在職場中,將工作上的資料傳給AI,它會如何運用?是否拿來做學習?或者傳送給其他人?這是許多企業沒有思考過的。翁浩正說,最近在1場和企業資安長的聚會中,資安長就提到,公司會將內部文件上傳到ChatGPT做分析、抓重點;他的想法是「千萬不要、先等一等」,企業可以自建伺服器,但若直接用在雲端上,AI可能拿來做學習,企業資料可能因此外洩。若企業還是想使用AI協助工作,翁浩正建議,可以選擇資料中心不會和別人共享的聊天機器人,以維護資安。不過,生成式AI對資安專家其實具有好處,DEVCORE資深副總徐念恩說,過去資安專家和攻擊者必須自己分析如何入侵網站,現在可以把內容餵給ChatGPT,請它盤點其他攻擊手法,成為資安專家的助手。原文出處:https://3c.ltn.com.tw/news/52444...

Read More

Google Cloud 預測 2025 年前 90%安全措施將採自動化作業,以程式碼形式管理[轉載自資安人]

過去三年來,企業試圖解決前所未有的挑戰,因此加快了數位轉型的腳步。Google Cloud 預期,未來兩到三年間將出現更多突破性革新,這些改變的推力來自包容神經多樣性的設計(neuro-inclusive design)、開放原始碼管理,以及有助實現「週休三日」的 AI 擴展趨勢。 Google Cloud...

Read More
})(jQuery)