【來論】戀愛電影館網頁「不安全」 文化局放任不管嗎?

來論 戀愛電影館被休息事件簿

文:灰帽子

網址:https://aamacau.com/?p=65667

時間:2020年10月14日 8:08

戀愛電影館重新投入服務,開幕前被網民譏為「Instagram網店式」的山寨式網上售票系統已取得突破。營運方炫昌公司自9月開始在「戀愛電影館」網頁提供網上售票服務。這個聯動MPay支付系統在意義上絕對可以說是真正網上售票,不過,跟各位影迷過往習慣的網上售票系統不同,除了不能用信用卡支付之外,認證方式由SMS短信變成了電郵。更令人感到擔心的是,截至下筆這天(10月12日),戀愛電影館網頁竟然沒有使用任何加密措施,由以前的HTTPS加密協定退化成HTTP非加密協定,即所有經戀愛電影館網頁傳送的資料都沒被加密,使用者的私隱安全較以往大打折扣。

圖為2019年8月23日戀愛電影館舊網頁的Web Archive,當時的網頁有啟用HTTPS加密協定(圖片由來稿人提供)

電影館網頁由「安全」變成「不安全」?

如果大家現在打開戀愛電影館的網頁,在網址旁會出現「不安全」的字樣。 這是因為在HTTP的基礎之下,使用者與網頁是直接透過明文進行傳輸,在這中間並沒有任何的保護,也就是說,任何有心人士都可以在網路上攔截偷看,甚至修改有關的資料。在現今的商用網站,使用HTTPS保護以避免在傳輸過程中遭到有心人士的竊取、加裝SSL憑證以保護客戶免於個人資料洩漏,是很基本而且必須的要求。令筆者更加奇怪的是,在過去三年的戀愛電影館網站都有使用HTTPS加密,為甚麼現在反而降級了呢?現時監督文化局、IT出身的社會文化司司長又是否能夠接受此事?

MPAY系統很安全 傳送去MPAY時呢?

必須強調再強調的是,MPAY付款系統本身有HTTPS加密,但經戀愛電影館網頁傳送到MPAY的資料有否經過加密呢?看看瀏覽器在你瀏覽戀愛電影館網頁時標示「不安全」的字樣,就是想要提醒你:資料現在有被洩漏風險。

(圖片由來稿人提供)

不過,在買票的時候,戀愛電影館網頁彈出提示,說明數據會轉移到阿里雲,而且所有數據會作KMS加密,到底是甚麼一回事呢?

(圖片由來稿人提供)

(圖片由來稿人提供)

其實,購票數據由戀愛電影館網頁到MPAY系統,中間經過四步曲:

  1. 戀愛電影館網頁 (沒有加密)
  2. 網頁供應商的API 接口 (沒有加密)
  3. 網頁供應商在阿里雲租用的雲服務(有加密)
  4. MPAY (有加密)

(圖片由來稿人提供)

真正的加密,需要由起點到終點到要保證有做好加密,而戀愛電影館網頁和網頁供應商的API 接口都是沒有使用加密協定的。情況就好像,有八百里加急的密件要送到皇上手中,但送去驛站的傳信兵之前,竟然是拜託賣菜的小販送過去的,無論傳信兵身手有多好,密件在送到驛站之前,可能已經被整個街市的人都看過了。

那麼, 戀愛電影館網頁不使用HTTPS保護, 有可能引致甚麼風險?以下做一個實驗就會知道了。筆者下筆這天首先選擇了一套電影,按指示輸入電郵,與此同時在電腦上開啟「網絡封包記錄器」,看看在使用戀愛電影館網上售票服務時,有甚麼資料有機會會被洩漏。

完成後, 檢視一下自己網絡封包的內容, 發現輸入的電郵地址[email protected] 被完整地記錄下來。

你可能會覺得,電郵地址洩漏不是甚麼重要的事。但是,這實驗證明了目前所有經戀愛電影館輸入的資料,都有洩漏的風險。試想一下, 如果網頁未有修正此問題,未來又搞一個「電影館活動」網上報名系統,或「電影之友」網上登記系統,要求你提供個人資料,屆時,支持了電影館的澳門市民,其個人資料是否可以得到電影館的保障?

筆者好奇的是,文化局究竟有否妥善擔起監督外判營運商的責任?到底戀愛電影館的營運方變更後,新網頁的製作與營運,文化局都知悉嗎?2020年還在用HTTP協定的網頁,真的沒有問題?要發展成「智慧城市」的澳門,其政府就真的打算以HTTP為標準?

各位,戀愛電影館的票價沒有減,但我們享受到的服務,包括資訊安全,目前就這電影館網頁看來卻是比以前差得遠。而這不是錢的問題,是常識的問題,要知道,使用HTTPS只需每年數百元買一張證書,再在網頁上做簡單的設定,真的不難。

政府要省錢,或許有一百萬個理由,但省了的是甚麼錢?省到的錢又用在了甚麼地方?省了以後又顯示出一個怎樣的政府形象?值得社會共同深思。

(來稿照登,僅代表來稿人立場)

廣告:支持獨立報道