[教學] whitelist本港各知名購物收款網站,很少人知基本保安智識

wiz123

背景:
由於很多公司寫網站時，也會使用很多不同的預製module以加快完成，
如果module內有連結至其他domain，會令使用者在沒有需要和不知情的情況下，訪問了很多其他沒有需要的高風險或木馬網站。
所以只要有點保安意識，也會使用whitelist將所有沒有用的網站block走
很多時，只要whiltelist主domain就可以，但很多網站在使用不同的收款方法時也會連結至其他不同網站，
如用百佳，登入必須也whitelist aswatson.com,用八達通付款，必須whitelist　octopus-cards.com和online-octopus.com
(P.S.只要hack入以上４個domain其中一個,就可以在購物時將木馬插入使用者的電腦中，所以whiltelist domain數目越多，風險越高)
如果是在百佳用octopus購物，本人的方法是建立一個專用20GB大少vitrualbox安裝linux+chrome，
只需建立/etc/opt/chrome/policies/managed/urlallowblocklist內容，
{
"URLAllowlist": ["aswatson.com","pns.hk","octopus-cards.com","online-octopus.com"]
"URLBlocklist": ["*"]
}

熱烈希望有高手可以分享自已的各網站whitelist或其他方法

jetdone

呢個方式未必得, 有好多統籌數據係第三方的URL, 仲有俾錢9成9都係第三方的URL,盲目欄截只會出問題, 如果只係瀏覽沒有題, 但是如果俾錢, 俾咗一半成功咗, 另一半又因為欄截左變失敗, 最後兩頭唔到岸, 最後只能煩到客服和自己.

freefdhk

網站都被hack 了做什麼都沒用。
怕有木馬加料最好都係就咁 VM 一鍵還原系統。

最可恨是有些公司走去用 .biz , .work  … 這些怪異域名，
不能 強制把這些全封，而且很多都用了 cloudflare , 也不能靠 geoip block 某些國家