15楼#
发布于:2006-07-28 22:28
的确,无论谁在用3年没更新的windows都是白痴仔。abc说得话果然不错。
|
|
16楼#
发布于:2006-07-28 22:28
的确,无论谁在用3年没更新的windows都是白痴仔。abc说得话果然不错。 那是你说的。 我的意思十分清楚,相信大部分人会明白。 [quote="abc@home"]我是说如果你用 windows 但 3 年不更新便会十分危险,是十分愚蠢。[/quote] 现在明白了吗? |
|
|
17楼#
发布于:2006-07-28 22:28
原来在说我吗,明白了。可惜我没有用那样的windows,你的如果没有成立。
|
|
18楼#
发布于:2006-07-28 22:28
这问题很严重,你们还能这么轻松聊,我晕…
|
|
19楼#
发布于:2006-07-28 22:28
其实受到这个木马感染的机会,和其他透过电邮感染的病毒没有大分必。只要小心一点,不随便打开来路不明名的电邮附件,受到感染的机会便十分低。
当然,除了个人安全意识外还要及时更新系统,及使用及时更新的杀毒软件。 |
|
|
20楼#
发布于:2006-07-28 22:28
发现两位是在聊天吧
我基本不想着去更新Windows,只要洁身自好,好像我也没有中过什么毒,一般下载我都不在国内的下载网站下载,直接到官方去,官方网站下载不了,就干脆不用了。不良网站更是很少访问了,所以现在我不在麻木中,感觉用FF挺好。 |
|
|
21楼#
发布于:2006-07-28 22:28
|
|
|
22楼#
发布于:2006-07-28 22:28
小狐也想来说两句,只是先前一直抽不出时间。希望版上的千年狐丶火狐丶老狐等等各位大侠多多包涵。小狐想说它,是因为关注这件事的後续可能性,是出於善意。
关於这件事,要靠个MozillaZine的公告就置顶实在太可惜了,因为老美并没有把xpi木马真正的危险程度,把它给全部诚实的说出来。 先针对目前这个木马的单一事件来说,在MozillaZine上有谈到: "....FormSpy installs itself in Firefox by directly modifying Firefox user profile files, completely bypassing the standard Firefox extension installation mechanism (and warning messages)....." 由上面对木马所采取的行动说明,我們可以了解到: 一丶它的自行安装方式,首先是把默认路径下面profiles的乱数值,以及profiles.ini里面相同的乱数值,同步的进行修改。修改这两个乱数并不会被firefox.exe主程式发现,目前主程式对它自己建立起来的profiles乱数值并不具备check的认证机制,所以这两个乱数值很容易就能被外来程序修改,而且改的神不知鬼不觉,FX使用者并无法察觉它修改动作完成之後和修改之前,在Firefox上有何不同的操作感。 二丶进行完上述动作之後,接下来它就自己植入到profiles里。这个过程,因为profiles已经被它操控,所以根本不会出现对话框去问您是不是允取它安装。 到此为止只是针对个单一的事件,把它植入木马的动作呈现出来。 ----------------------------------------------------------------------------- 接下的问题有四大项,是未来要防备的焦点: 一丶安装这个xpi木马的Loader载具,是不是必然一定要是个「木马」或「毒病」?这并不是Loader的必要条件,换句说,任何写入对Firefox具有针对性的Loader,都可以把一个不良意图的xpi植入到Firefox的设置档中。 二丶xpi的安装只在设置档中进行登录,不会在Windows里的registry注册,它这个xpi本身的危害性,并不容易被整个系统的机制注意到,也很难(几乎无法)被防毒/防木马软件注意到。所以,Firefox设置档里面被自动安装xpi,目前来说是无法被系统安全软件拦阻的,如果要能被拦阻,目前1600多个扩充在我们安装时,就不仅只是Firefox主程式会进行确认了,而是连防毒/防木马软件都会跳出来向我们确认。 三丶一个会自行对外连网的xpi,它会不会被防火墙拦阻进行对我们的确认?答案是不会的。因为xpi是受firefox.exe在管理,只要系统防火墙或Third-Party防火墙,允许firefox.exe连网,它下面所有的xpi都能被允许连网,就像如果我们安装了一个ForecastFox天气预报的扩展一样,它在我们一启动Firefox时就会对外进行已被防火墙允许的合法连网动作。 四丶xpi档是不是只限於做为一个扩展?是不是必然会显示在扩展管理的窗口里面?答案是否定的。显示在扩展管理窗口里面,那只是个扩展的在反安装和注解的附加要件,却不是一个xpi植入的必然要件。就以Firefox1.0.7之前版本,我们要做的那个307259.xpi补丁并不会显示在扩展管理窗口里面是相同的意思,而且那个会在UA字串里显示出来的(NO IDN)字串,也算是个附加上去的注脚,它也能在about:config里被洗掉,就像各位看到小狐我的UA字串里并没有显示(NO IDN),但这个307259.xpi补丁在我的Firefox里却是的的确确存在。 所以,要请各位多留意这段空窗期的发展。说穿了只要会打包一个程序,也会写xpi,光是这两点就已经俱备黑掉一个Firefox,把他所想要的资料上传或破坏一个Firefox的正常运行功能。当然,如果意外的被人植入了能增加Q币或增加银存款的xpi,那也是挺好的。不过目前这个植入方式只对Windows版本的Firefox有效,估计要在Linux或Mac OS X上进行的可能性是微乎其微乎。 (很快的把本帖打完,有错字的话纯属手指不听话又没再检查内文,请多包涵) |
|
23楼#
发布于:2006-07-28 22:28
|
|
24楼#
发布于:2006-07-28 22:28
把FF分析得这么透彻的在坛子里面不多啊,parisian是高人,只是来坛子晚了,所以parisian说自己是小狐狸,就太过谦了
16个帖子,个个都含金,怎么可能是小狐狸呢,那个只是对你发贴数的体现,不是技术和含金量的体现。 |
|
|
25楼#
发布于:2006-07-28 22:28
|
|
26楼#
发布于:2006-07-28 22:28
我试过在foxfire/extensions这个目录下,直接把xpi解压放进去,就能实现silent的安装xpi,firefox只是在启动的时候检测一下这个新扩展的兼容性,而整个过程是完全看不到任何提示的。
其实这个机制很难说是Mozilla的责任,因为很多程序都是这样实现插件安装,往往复制个dll到plugins就行了,这几乎已经是惯例了。除非象MS安装驱动那样需要官方数字签名什么的才有可能做到安全。 |
|
27楼#
发布于:2006-07-28 22:28
嗯,楼上说的这一点非常值得注意
xpi的安装机制好像确实是如此的 Mozilla应该好好利用一下GUID,只有通过Mozilla认证的GUID才能被安装 |
|
28楼#
发布于:2006-07-28 22:28
回楼上:如果GUID必须通过Mozilla的认证的话,对扩展的开发是个极其巨大的打击,爱好者有多少会花费很多的精力去认证呢?像zlowly说的,安装之前给个提示倒是真的,免得有程序偷偷给咱们安装东西。
|
|
29楼#
发布于:2006-07-28 22:28
后面的话题偏离主题,但个人更喜欢后面跑题的言论,比如extensions安装的问题。。。
|
|
上一页
下一页