应广大 Firefox 的 FANS 要求，写了一个恶意脚本的实例，大家看看

滑溜·图灵

小狐狸

UID2529
注册日期2005-01-25
最后登录2005-11-12
发帖数98
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

30楼^#

发布于：2005-06-07 18:41

这是什么逻辑呢？我倒很想知道这个“不懂编程”的人从哪里得到的这个“很简单的命题”？

windows和Linux哪个是开源软件？哪个受到攻击的可能性大很多？

别忘了疯狂加密的OpenBSD啊^_^

火本来只应该属于人类,怎能够把它永藏在天庭?
哪怕是没有我偷下火种,人们自己也找得到光明.
人有了屋子怎会再钻洞?鸟进了森林怎会再投笼?
有了火就会有火种留下,飓风刮不灭,洪水淹不尽.
缔造和谐社会健康net,×××万岁万岁万万岁!

回复喜欢

slrey

火狐狸

UID5922
注册日期2005-05-12
最后登录2006-02-23
发帖数147
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

31楼^#

发布于：2005-06-07 18:41

mopz0506：
不是这样子的。

比如 DES、RSA、MD5 这样的加密和数字签名软件，算法必须公开的。公开的、经过大家审查的更安全，这是所有密码专家的共识。回到原帖

DES和RSA只是单纯加大了计算量，拖延了破解时间。
很有名的例子就是德国 Geheimschreiber 机械加密最终被图灵用电子计算机破解。
MD5本身是单向Hash函数，不存在解密问题。

实际上密钥还是不公开的。

回复喜欢

ydgi

火狐狸

UID2074
注册日期2005-01-12
最后登录2007-04-03
发帖数166
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

32楼^#

发布于：2005-06-07 18:41

所以密钥就有一个生效时间和一个过期时间啦。视不同需要，有效期从长达3年到短至1小时的都有。

slrey：
DES和RSA只是单纯加大了计算量，拖延了破解时间。
很有名的例子就是德国 Geheimschreiber 机械加密最终被图灵用电子计算机破解。
MD5本身是单向Hash函数，不存在解密问题。

实际上密钥还是不公开的。回到原帖

回复喜欢

blackdire

火狐狸

UID2211
注册日期2005-01-15
最后登录2006-11-03
发帖数165
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

33楼^#

发布于：2005-06-07 18:41

安全是要靠人的

CPU：Intel CeleronD 325 D0制程(2.53G) 主板：七彩虹刀锋战士 C.848P Ver2.3 (Intel 848P+ICH5) 内存：威刚(V-DATA) 万紫千红 DDR400 256MB × 2 硬盘：WDC WD1200JB-22GVA0 (120G 8MB缓存) 声卡：板载ALC655 显卡：七彩虹镭风9550-GD2 CT冰封骑士3 [ATI RADEON 9550(RV350) 显存256MB(450/700MHz)] 网卡：Realtek RTL8139/810x Family Fast Ethernet NIC 1394网络适配器：VIA OHCI Compliant IEEE 1394 Host Controller 电源：鑫谷核动力300V 机箱：LG纳蓝先锋2002 显示器：BenQ FP71G+S 光驱：台电女神 52xCOMBO 52×24×52×16(Secondary, Master)+BenQ 1650T 白色(Secondary, Slave) 软驱：Sony 键盘：双飞燕KBS-5 鼠标：Microsoft IntelliMouse PS/2 音箱：杂牌打印机：Lexmark Z11 Color Jetprinter 操作系统：RedFlag Linux Workstation 5 Microsoft Windows XP Professional Service Pack 2(5.1.2600) Microsoft Windows 98 SE(4.10.2222)

回复喜欢

sakerping 火狐狸 UID3677 注册日期2005-03-06 最后登录2005-11-16 发帖数198 经验10枚威望0点贡献值0点好评度0点加关注写私信	34楼^# 发布于：2005-06-07 18:41 到底有没有懂行的说说楼主的这个东西是否能够证明他的观点？或者是在等楼主更新的东西？
	回复(0) 喜欢(0)

superman

狐狸大王

UID3997
注册日期2005-03-14
最后登录2006-04-17
发帖数341
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

35楼^#

发布于：2005-06-07 18:41

总结一下：
1.楼主的脚本证明了脚本程序在用户许可和拥有数字签名的情况下，可以访问本地的文件对象。

2.遇到无赖型的不停骚扰人的脚本，Firefox用户可以通过“以后不提醒我”这样的选项来避免骚扰。

3.要想上网安全，只有你自己先重视安全！无论你用什么浏览器，最至少要看清楚你的对话框上的提示，知道自己点的是什么东西。

我是一个残忍且卑鄙的人，我晕血又嗜血。我会当着所有人的面把你绑起来，割开你的手腕，让你亲眼看自己皮肉翻开，血液流光，然后抽搐着死去。滴答。滴答。滴答。知道吗，那声音仿佛天籁，你会喜欢的。那些红色粘稠的液体，我会全部喝光，让它在我的嘴角绽开美好得惊天地的诡异花朵。在你失去知觉前，我会喂你一口的，要加糖吗。

回复喜欢

copyliu

非常火狐

UID2416
注册日期2005-01-21
最后登录2012-05-14
发帖数611
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

36楼^#

发布于：2005-06-07 18:41

几天没来，发现又多了N多的讨论，
看着先。

业余占星、占卜星海茫茫谁主沉浮? [url=http://www.copyliu.cn]Copyliu's Blog 不奢吞食天地，只求浪漫人间！[/url] [img]http://copyliu.cn/statusbot.png.php[/img] [img]http://copyliu.cn/gfw-large.png[/img]

回复喜欢

soasobar UID1431 注册日期最后登录发帖数经验枚威望点贡献值点好评度点加关注写私信	37楼^# 发布于：2005-06-07 18:41 危险的脚本算不算一个漏洞呢？
	回复(0) 喜欢(0)

hahaha 狐狸大王 UID2354 注册日期2005-01-20 最后登录2007-04-11 发帖数529 经验10枚威望0点贡献值0点好评度0点加关注写私信	38楼^# 发布于：2005-06-07 18:41 soasobar：危险的脚本算不算一个漏洞呢？回到原帖这不能算漏洞，因为Firefox可以让你决定这样的操作是否进行，而且还能让你不被这样的操作提示反复骚扰。
	回复(0) 喜欢(0)

soasobar UID1431 注册日期最后登录发帖数经验枚威望点贡献值点好评度点加关注写私信	39楼^# 发布于：2005-06-07 18:41 但是很多用户可能并不知情，或许更是一知半解，或者是全然不懂。对于这样的人来说，危险的脚本就显得很可怕了
	回复(0) 喜欢(0)

滑溜·图灵

小狐狸

UID2529
注册日期2005-01-25
最后登录2005-11-12
发帖数98
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

40楼^#

发布于：2005-06-07 18:41

但是很多用户可能并不知情，或许更是一知半解，或者是全然不懂。
对于这样的人来说，危险的脚本就显得很可怕了

你没看到前面说的数字签名么?查查恶意Web要弄到被信任数字签名的难度吧[quote="superman"]总结一下：
1.楼主的脚本证明了脚本程序在用户许可和拥有数字签名的情况下，可以访问本地的文件对象。
2.遇到无赖型的不停骚扰人的脚本，Firefox用户可以通过“以后不提醒我”这样的选项来避免骚扰。[/quote]

火本来只应该属于人类,怎能够把它永藏在天庭?
哪怕是没有我偷下火种,人们自己也找得到光明.
人有了屋子怎会再钻洞?鸟进了森林怎会再投笼?
有了火就会有火种留下,飓风刮不灭,洪水淹不尽.
缔造和谐社会健康net,×××万岁万岁万万岁!

回复喜欢

kmc

管理员

UID165
注册日期2004-11-25
最后登录2024-08-29
发帖数9187
经验398枚
威望1点
贡献值124点
好评度41点

加关注写私信

41楼^#

发布于：2005-06-07 18:41

soasobar：但是很多用户可能并不知情，或许更是一知半解，或者是全然不懂。
对于这样的人来说，危险的脚本就显得很可怕了回到原帖

对于什么提示都点“是”的用户，你觉得还能怎么样？

Waterfox Current和Firefox Nightly都用，逐渐走出XUL扩展依赖

回复喜欢

asahi 火狐狸 UID927 注册日期2004-12-15 最后登录2007-06-24 发帖数296 经验10枚威望0点贡献值0点好评度0点加关注写私信	42楼^# 发布于：2005-06-07 18:41 其实ActiveX被滥用也和用户安全观念不强有关系。
	回复(0) 喜欢(0)

hh9527

小狐狸

UID6578
注册日期2005-06-06
最后登录2009-07-07
发帖数49
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

43楼^#

发布于：2005-06-07 18:41

你没看到前面说的数字签名么?查查恶意Web要弄到被信任数字签名的难度吧

数字签名有什么难度？你了解数字签名的作用和原理么？一知半解，就不要乱说！数字签名的目的是让用户知道为它提供WEB服务的是谁，而不能确保其没有恶意，这在所有浏览器里都一样。也就是说：恶意的脚本和善意的脚本具备获得数字签名时，没有任何不同！

例如：3721作为一个有恶意的插件，仍然可以在安装时出示其数字签名。

我经过这几天的研究，已经初步了解了获得 Firefox/Gecko 使用数字签名的过程：
1. 首先，从一些认证服务商那里购买认证，由它向你你提供一个认证书。根据认证的安全性不同、目的不同，价钱也不同（需要几十到几千 $）。购买时，只要付钱即可，对方不会问你任何有关你目的的问题
2. 使用数字签名工具对你的网站、代码或者页面进行签名（微软和Mozilla都提供各自数字签名工具，都应该是免费的），数字签名工具在签名时需要你提供你获得的认证书
3. Mozilla 的数字签名工具会将你签过名的文件（包括html和脚本）打成一个jar包，这个包是不可以再修改的（如果修改，必须重新签名），然后就可以在你的普通页面中通过：jar:.... 的方式来访问该包内部的页面和脚本，如果数字签名过的脚本，向浏览器提出突破沙箱限制的请求，Firefox会首先检查这个包是否是经过数字签名的，如果是，则弹出对话框，显示相应的数字签名信息（供应商是谁、认证是谁提供的），并要求用户确认是否信任该脚本，一旦信任，该脚本就突破了浏览器的沙箱限制，获得了操作系统级别的所有权利，可以访问操作系统允许的所有资源（包括本地资源）。也就是说你一旦信任了一个不该信任的数字签名（哪怕只是一次），你都有可能无法挽回你损失了（因为脚本可以控制几乎所有资源，它如果心怀恶意.......）
4. 需要指出的是，一旦你从认证商那里获得了认证书，就可以反复对你的文件进行签名，不再需要再次购买新的认证。

我因为缺少 $，所以无法购买认证书，所以示例脚本 bad.html 就暂时无法数字签名，但这并不表示不可以。有志于开发恶意插件/脚本的组织，只要付出少量的 $（对于商业组织而言几十到几千都算比较少的），就可以很容易获得数字签名，剩下只需要等待用户一次（只需一次）不经意的点击即可。

还是那句话，安全责任在用户，浏览器（无论是 IE 或者 Fx）都从机制上已经做到了它能做到的一切。

另外说一句，很多人认为只有 Firefox 可以让申请权限的对话框不反复弹出，其实 IE 及基于 IE 的 Maxthon 之类的浏览器也可以做到。

自由的呼吸

回复喜欢

白衣布道小狐狸 UID4026 注册日期2005-03-15 最后登录2005-08-06 发帖数32 经验10枚威望0点贡献值0点好评度0点加关注写私信	44楼^# 发布于：2005-06-07 18:41 这一点上能不能认为Firefox的设计比IE谨慎？IE下的恶意脚本需要数字签名吗？
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册