...
同样的使用习惯，我使用Maxthon+自己精心编写的过滤规则，卡巴斯基还开着，用两个月拿AdAware一扫就40多个间谍文件，第一次扫大概扫出了180余个。用firefox到现在，从来没有扫出来，唯独几个扫出来的也是在ie的临时文件目录下，那是不得已用ie看某些网站的结果，现在我连卡巴斯计也基本不开了，只在下载了东西要安装的时候再开。

虽然不肯定你当时扫出的间谍文件是甚么，但根据经验 Adaware 扫出来的 99% 以上是所谓的 tracking cookies。主要原因是接受 3rd parties cookies，而没有清空 cookies 习惯。如果接受 cookies 习惯不便，在 FF 也会得到。

另外必须知道 Adaware 是不支持 FF 的 cookies 储存方色的(FF 把 cookies 合成在单一文件)，所以不会在 FF 探测出 tracking cookies，可改用 sypbot。

abc你打错字了。应该是“储存方式”，我也就不说你那半瓶子水的国语了：）

PS：欧洲向来都是反微软垄断的，以法国为首……法国的文化传统保护是出了名的。

发个贴看看我的opera ID

hh9527：1.协议本身所谓的“非法”和“不合法”是针对当地法律的，按照中国法律，正如你所说的 3721 并没有触犯任何法律，但它仍然是一个恶意的插件。
2.各种 CA 不能保证你接触到的WEB应用不安全，它只能向你证明，你接触到的WEB应用是经过签名的供应商直接提供给你的，而不是经过第三方篡改过的。你还是必须自己决定是否信任供应商。
3.CA 不是利欲熏心，而是技术上它无法保证，并且数字签名的目的也不是直接保障安全。
4.至于你说得认证存在有效期的问题，的确是这样。我疏忽了，向你致敬。
5.另外，你可以提供几个国内的免费认证获取网址么？我去试试看。回到原帖

1.同意
2+3.但审批申请的严格程度和当地法律无关.任何科技应用都不仅仅是技术,只要CA管理跟上,用数字签名防治恶意代码就会比现在可靠些...谣言说UN准备在数字签名方面搞国际公约以防各国法律跟不上
4.呵呵
5.其实如果是为了测试玩玩,完全没必要找真的CA...
给自己颁根证书,我就是假颁证机构^_^
当然,测试软件颁的假证书不可能不手工安装就进入受信任列表
--------------------------------------------------------------------
所用的数字证书测试软件在这里(靠,ys168.com看来Only IE)：
http://suntongo.ys168.com
是那个"zx100.zip 0.4MB 这是和正式版本最接近的测试版"

我“选项”中的保存Cookie的策略是“仅在当前会话中接受”，
只有论坛的几个Cookie才让保存，
对allyes，imrworld等等已经在“例外”中设置为“阻止”
选上“仅对原始站点”

这样安全吗？

至少可以避免残留太多无用的cookie。

如果遇到想要保存cookie的站点就，把策略设置为“保存每个cookie前都询问我”，决定保存每个cookie的策略。

----

about:config中有个 network.cookie.p3p 默认值 ffffaaaa

在知识库中的解释是

Look at the p3p field in the server's response header to determine the privacy policy, and then processes the cookie accordingly. 'f' means 'flag', 'd' means 'downgrade to session', 'a' means 'accept', and 'r' means 'reject'. The letters in the 1st, 3rd, 5th, and 7th position are for first parties, and those in the even-numbered positions are for third parties. The four situations are: no policy, collects personal info without permission, collects personal info only with permission, and collects no personal info.

    * 考虑服务器响应报头的p3p域来决定隐私策略，然后相应的处理cookie。
    * 'f' <-> 'flag'标记, 'd'<-> ‘downgrade to session’（?）,‘a’ <-> ‘accept’接受, ‘r’ <-> ‘reject’拒绝

FIXME

    * 1、3、5、7位的字母适合于第一方，而那些偶数位的适用于第三方。
    * 这四个位置是：无策略、未经许可收集个人信息、只在许可下搜集个人信息和不搜集个人信息

如果改一改这个参数应该可以提高cookie的安全性。

---

后面还有项 network.cookie.p3plevel

Security level of filtering for cookies

    * cookie过滤的安全级别

    * 0 : Low
    * 0 : 低
    * 1 : Medium
    * 1 : 中
    * 2 : High
    * 2 : 高
    * 3 : Custom
    * 3 : 自定义

但是对这个级别的具体情况不清楚。

9527也好kmc也好，不要跟捣乱的人胡搅就乱了自己说话的逻辑和联系。别低估我们的智商，我们还是能看的出来什么人说的话是有价值的。你们跟这些人解释反而乱了自己发帖的逻辑性，我看的好乱，理不出头绪。

作为一个普通用户，都用默认的设置，我自己的感觉就是如此：IE稀里糊涂的就被搞，FX用同样的上网习惯上同样的网站都没问题。我保证没安装什么证书，连是否的对话框都没，activex也肯定没装因为我是SP2有提示的，但是IE就是会被搞。现在看kmc的说法用maxthon都会如此我都感觉邪门。
所以现在我和kmc的感觉是一样的：就算不出那个是否对话框，IE核心一样的不安全。估计kmc和我对这个情况一样的好奇和不解吧？除了沙箱，肯定还有其他的因素在决定这个安全性吧？
但除了现在用FX的人少所以针对FX的攻击也少这个理由外（我是否可以说，这是目前唯一不能用证据论证的一个理由？），在效果上，FX确实安全的多。

补充一点，我的推测：这个沙箱的问题，也许是FX最短的那块“木板”，但绝对不会是威胁FX安全性的最大隐患。

另外建议：各位在回帖的时候，尽量把自己的整体立场和想法说出来，反正也就是这几个人说点有价值的话，估计各自的立场也都熟悉了吧？不然纠缠于措辞和比喻，你们争的乱我们看的更乱。

再补充，我说的“我保证没安装什么证书，连是否的对话框都没，activex也肯定没装因为我是SP2有提示的，但是IE就是会被搞。”，已经排除了我安装新软件的因素了。这个“被搞”是指“会有不明的东西通过IE进到我的系统”。而且我从来没用过maxthon这样的增强版IE。

另外，个人用户是肯定要在本地放开所有的权限的，至少我就是如此。我在家里也只锁大门，不可能起居室卧室分别上锁并且总处于锁闭状态，每次开门太麻烦了。这个问题似乎无法解决？如果设置若干个帐户分别用来安装和升级软件、上网、办公和玩游戏，就太麻烦了啊。

上锁是防外人，不是防自己误操作，所以自己的引狼入室是怪不得别人的。但是现在的问题是：如果我们把浏览器比作一个我们住宅与外界的窗口的话，那么用FX这个窗口我们很安全；但是用IE这个窗口会有害虫进来，而且我们不知道他们到底是飞进来还是爬进来的。现在看来是不是很诡异？那么还是那两个结论：要么承认FX本来就比IE核心安全，要么等待FX的占有率大到和IE分庭抗礼的时候再看分晓，在可以预见的几年内，FX还是比IE安全。

我“选项”中的保存Cookie的策略是“仅在当前会话中接受”，
只有论坛的几个Cookie才让保存，
对allyes，imrworld等等已经在“例外”中设置为“阻止”
选上“仅对原始站点”

...

我认为选上“仅对原始站点”设置，基本上已经足够。因为原始站点的 cookie 只能在原来 domain 使用。即使跟踪，亦只能跟踪用户在该站活动。但第三方 cookie 则不受站点限制，例如 doubleclick 的 cookie 在用户探访任何与 doubleclick 有联系的网站也能记录。

当然大家可按个人喜好再加强一下。

......

关于Tracking Cookies，参看http://www.mvps.org/winhelp2002/cookies.htm
严格来说 Tracking Cookies 不算是入侵，因为它还是在沙箱内部，WEB应用没有接触到本地资源，只是接触到了你的浏览器在线资源。但是因为它有可能暴露你的上网习惯，所以被隐私保护意识强的人认为是 evil。

各种流量统计工具（我在我的 BLOG 上就申请了一个）也是利用 Tracking Cookie 来工作的。但这些也不是“恶意”的。还有各种 Rank 工具/插件，其实工作原理都差不多。

因为Cookie在沙箱内部，所以在 Firefox 只需要申请特别较低级别的权利就可以访问。参看 Mozilla 的权限级别：http://www.mozilla.org/projects/security/components/jssec.html
如果获得 UniversalXPConnect 的权利，则完全突破了沙箱限制；如果什么权限都没有，则在最严格的沙箱保护之中；如果没有申请过，则按浏览中默认的配置权限来处理。

在阻止 Tracking Cookie 方面，Firefox 较之 IE 并没有发明新的机制：它要么阻止写 Cookie，要么允许，或者根据黑/白名单判定，而无法根据内容判定写的 Cookie 是不是暴露了你的隐私。这和病毒/反病毒机制有一点相似：你无法保证一个程序是不是恶意的（杀毒软件的特征码匹配是后验的办法，不能从根本上保证不受伤害：总是通过牺牲一小部分人来发现病毒的特征码，从而让其它人更新病毒库而获得免疫能力）

至于默认的权限，在 XP 上 IE 是不如 Firefox 严格的（WIN 2003上就非常严格），但这不是机制的问题。

另外，我从签名看到你用的是 XP，为什么不考虑一下利用快速用户切换功能呢？
平时用受限用户访问WEB，如果需要安装程序的操作，可以利用 XP 的用户快速切换功能切到管理员用户上，XP的这个功能还是相当实用的。我在公司的机器上就是这样。

其实，我的意思始终没有变化过，这就是：无论是 IE 还是 Firefox，在安全性方面均采用相同的机制（具体实现有差异），因此他们的安全性是相同的。“安全性相同”并不代表“同样安全”，因为安全性指的是机制上的东西（技术上有没有可能被攻破），而不是实际遭受攻击可能性。后者现在无法讨论，因为存在太多的其他因素在里面（包括：市场占有率、攻击的性价比、黑客的偏爱），而且很明显，目前使用 IE 遭受的攻击可能性要大很多。而前者是可以通过说明技术细节和原理来讨论的。

是否可以这么说，现在来说，用浏览器浏览网页已经成为唯一的危险了？毕竟下载文件是有杀毒软件检查的。还有各种IM通讯工具上的病毒……
你给的方法我会参考的，确实是。

sakerping：是否可以这么说，现在来说，用浏览器浏览网页已经成为唯一的危险了？毕竟下载文件是有杀毒软件检查的。还有各种IM通讯工具上的病毒……
你给的方法我会参考的，确实是。回到原帖

个人认为最大的危险在于不良的使用习惯，如果都能做到以下几点：
1. 尽量使用受限用户访问 WEB
2. 把浏览器的默认的安全级别开到最高，只对确实可靠的 WEB 应用敞开沙箱
3. 注意软件的安全更新，特别是 WINDOWS 和 IE 的 HOTFIX（即便你日常使用 FIREFOX，也应如此）；
4. 使用防火墙和杀毒软件
5. 访问时弹出的对话框，要看清楚后再确认。如果某个网站总用对话框骚扰我，就坚决不去上。
6. 日常以访问固定的几个站点为主；尽量不访问 XXX 和 CRACK 站点（许多这类站点都有猫腻），除非你知道它的底细
7. 使用有开放协议的 IM（QQ 不在此列）
8. 不使用非浏览器的 IE 外壳（例如：浩方对战平台），因为它可能会导致安全级别的降低以及强迫你访问某些站点。

做到这些点以后，那么可以认为是比较安全的。

最大的危险在于不良的使用习惯

这才是重点

hh9527：

个人认为最大的危险在于不良的使用习惯，如果都能做到以下几点：
1. 尽量使用受限用户访问 WEB
2. 把浏览器的默认的安全级别开到最高，只对确实可靠的 WEB 应用敞开沙箱
3. 注意软件的安全更新，特别是 WINDOWS 和 IE 的 HOTFIX（即便你日常使用 FIREFOX，也应如此）；
4. 使用防火墙和杀毒软件
5. 访问时弹出的对话框，要看清楚后再确认。如果某个网站总用对话框骚扰我，就坚决不去上。
6. 日常以访问固定的几个站点为主；尽量不访问 XXX 和 CRACK 站点（许多这类站点都有猫腻），除非你知道它的底细
7. 使用有开放协议的 IM（QQ 不在此列）
8. 不使用非浏览器的 IE 外壳（例如：浩方对战平台），因为它可能会导致安全级别的降低以及强迫你访问某些站点。

做到这些点以后，那么可以认为是比较安全的。回到原帖

你这几条相当于要某些人去死

客观地说，想要用户对安全负责是不可能起到任何效果的。

明年的 CPU 硬件支持虚拟机，看看能不能把比较危险的应用软件单独放到一个隔离区域里运行，这才是正路。

hh9527：

你这几条相当于要某些人去死 回到原帖

啊，我死了！