的确，无论谁在用3年没更新的windows都是白痴仔。abc说得话果然不错。

的确，无论谁在用3年没更新的windows都是白痴仔。abc说得话果然不错。

那是你说的。

我的意思十分清楚，相信大部分人会明白。

[quote="abc@home"]我是说如果你用 windows 但 3 年不更新便会十分危险，是十分愚蠢。[/quote]

现在明白了吗？

原来在说我吗，明白了。可惜我没有用那样的windows，你的如果没有成立。

这问题很严重，你们还能这么轻松聊，我晕…

其实受到这个木马感染的机会，和其他透过电邮感染的病毒没有大分必。只要小心一点，不随便打开来路不明名的电邮附件，受到感染的机会便十分低。

当然，除了个人安全意识外还要及时更新系统，及使用及时更新的杀毒软件。

发现两位是在聊天吧

我基本不想着去更新Windows，只要洁身自好，好像我也没有中过什么毒，一般下载我都不在国内的下载网站下载，直接到官方去，官方网站下载不了，就干脆不用了。不良网站更是很少访问了，所以现在我不在麻木中，感觉用FF挺好。

中国龙：的确，无论谁在用3年没更新的windows都是白痴仔。abc说得话果然不错。回到原帖

反对，能用3年没更新的windows，并且安然无恙，肯定是顶尖高手。
就象现在仍然玩DOS的人大多数不是普通人一样。

来这里的人可能没有一个能做到吧？

小狐也想来说两句，只是先前一直抽不出时间。希望版上的千年狐丶火狐丶老狐等等各位大侠多多包涵。小狐想说它，是因为关注这件事的後续可能性，是出於善意。

关於这件事，要靠个MozillaZine的公告就置顶实在太可惜了，因为老美并没有把xpi木马真正的危险程度，把它给全部诚实的说出来。

先针对目前这个木马的单一事件来说，在MozillaZine上有谈到：

"....FormSpy installs itself in Firefox by directly modifying Firefox user profile files, completely bypassing the standard Firefox extension installation mechanism (and warning messages)....."

由上面对木马所采取的行动说明，我們可以了解到：

一丶它的自行安装方式，首先是把默认路径下面profiles的乱数值，以及profiles.ini里面相同的乱数值，同步的进行修改。修改这两个乱数并不会被firefox.exe主程式发现，目前主程式对它自己建立起来的profiles乱数值并不具备check的认证机制，所以这两个乱数值很容易就能被外来程序修改，而且改的神不知鬼不觉，FX使用者并无法察觉它修改动作完成之後和修改之前，在Firefox上有何不同的操作感。

二丶进行完上述动作之後，接下来它就自己植入到profiles里。这个过程，因为profiles已经被它操控，所以根本不会出现对话框去问您是不是允取它安装。

到此为止只是针对个单一的事件，把它植入木马的动作呈现出来。


-----------------------------------------------------------------------------
接下的问题有四大项，是未来要防备的焦点：

一丶安装这个xpi木马的Loader载具，是不是必然一定要是个「木马」或「毒病」？这并不是Loader的必要条件，换句说，任何写入对Firefox具有针对性的Loader，都可以把一个不良意图的xpi植入到Firefox的设置档中。

二丶xpi的安装只在设置档中进行登录，不会在Windows里的registry注册，它这个xpi本身的危害性，并不容易被整个系统的机制注意到，也很难（几乎无法）被防毒/防木马软件注意到。所以，Firefox设置档里面被自动安装xpi，目前来说是无法被系统安全软件拦阻的，如果要能被拦阻，目前1600多个扩充在我们安装时，就不仅只是Firefox主程式会进行确认了，而是连防毒/防木马软件都会跳出来向我们确认。

三丶一个会自行对外连网的xpi，它会不会被防火墙拦阻进行对我们的确认？答案是不会的。因为xpi是受firefox.exe在管理，只要系统防火墙或Third-Party防火墙，允许firefox.exe连网，它下面所有的xpi都能被允许连网，就像如果我们安装了一个ForecastFox天气预报的扩展一样，它在我们一启动Firefox时就会对外进行已被防火墙允许的合法连网动作。

四丶xpi档是不是只限於做为一个扩展？是不是必然会显示在扩展管理的窗口里面？答案是否定的。显示在扩展管理窗口里面，那只是个扩展的在反安装和注解的附加要件，却不是一个xpi植入的必然要件。就以Firefox1.0.7之前版本，我们要做的那个307259.xpi补丁并不会显示在扩展管理窗口里面是相同的意思，而且那个会在UA字串里显示出来的(NO IDN)字串，也算是个附加上去的注脚，它也能在about:config里被洗掉，就像各位看到小狐我的UA字串里并没有显示(NO IDN)，但这个307259.xpi补丁在我的Firefox里却是的的确确存在。

所以，要请各位多留意这段空窗期的发展。说穿了只要会打包一个程序，也会写xpi，光是这两点就已经俱备黑掉一个Firefox，把他所想要的资料上传或破坏一个Firefox的正常运行功能。当然，如果意外的被人植入了能增加Q币或增加银存款的xpi，那也是挺好的。不过目前这个植入方式只对Windows版本的Firefox有效，估计要在Linux或Mac OS X上进行的可能性是微乎其微乎。

（很快的把本帖打完，有错字的话纯属手指不听话又没再检查内文，请多包涵）

中国龙：的确，无论谁在用3年没更新的windows都是白痴仔。abc说得话果然不错。回到原帖

3年未更新又何妨，难道用win9X的都是BC？

把FF分析得这么透彻的在坛子里面不多啊，parisian是高人，只是来坛子晚了，所以parisian说自己是小狐狸，就太过谦了

2006/07/31
文章: 16

16个帖子，个个都含金，怎么可能是小狐狸呢，那个只是对你发贴数的体现，不是技术和含金量的体现。

hnstxx：把FF分析得这么透彻的在坛子里面不多啊，parisian是高人，只是来坛子晚了，所以parisian说自己是小狐狸，就太过谦了

16个帖子，个个都含金，怎么可能是小狐狸呢，那个只是对你发贴数的体现，不是技术和含金量的体现。回到原帖

您的嘉许实不敢当，非常感谢！Mozilla使用同好的关注点，就是小狐我的关注点，版友在使用上遭遇到的使用问题，就是小狐我的问题。只是尽一点使用者的棉薄之力。

我试过在foxfire/extensions这个目录下，直接把xpi解压放进去，就能实现silent的安装xpi，firefox只是在启动的时候检测一下这个新扩展的兼容性，而整个过程是完全看不到任何提示的。

其实这个机制很难说是Mozilla的责任，因为很多程序都是这样实现插件安装，往往复制个dll到plugins就行了，这几乎已经是惯例了。除非象MS安装驱动那样需要官方数字签名什么的才有可能做到安全。

嗯，楼上说的这一点非常值得注意
xpi的安装机制好像确实是如此的
Mozilla应该好好利用一下GUID，只有通过Mozilla认证的GUID才能被安装

回楼上：如果GUID必须通过Mozilla的认证的话，对扩展的开发是个极其巨大的打击，爱好者有多少会花费很多的精力去认证呢？像zlowly说的，安装之前给个提示倒是真的，免得有程序偷偷给咱们安装东西。

　　后面的话题偏离主题，但个人更喜欢后面跑题的言论，比如extensions安装的问题。。。