105楼#
发布于:2005-06-06 15:44
呵呵! 真的一晚白头,竟然已经是"老狐狸"了。abc兄弟看来现在是乏了,歇歇先,去买个西瓜,大家降降火,这大热天的,上火也容易啊。 看一个个都有点脸红脖子粗的,一个晚上就出了7页论题。 |
|
106楼#
发布于:2005-06-06 15:44
Re: 赶明你做一个 AUTO-FORMAT for Firefox,他们就明白了
有时间的话做一个测试出来交流一下,相信对大家增加安全意识应该会有帮助(auto shutdown 都足够了 :D ),可惜我不懂 xpcom。 :( |
|
|
107楼#
发布于:2005-06-06 15:44
Re: 赶明你做一个 AUTO-FORMAT for Firefox,他们就明白了
多发现一些安全隐患是好事,不过可能在做之前还是要先考虑一下下面这个问题,这个可能也是最重要的问题,如何把含有恶意XPCOM组件的XPI安装进去: hh9527的想法看上去很美丽,实际上不可能实现(当然除非找到了Firefox在安装XPI上的BUG),主要就在第3步,即使获得了XPCONN的权利,但是你光凭一段javascript,如何去修改站点白名单?或许XPI能够修改这个名单,但是如果你的这个XPI根本就没有被安装,你的 Javascript从何去调用? 刚才看了一下,Javascript根本就没有XPconn的权力一说,只要你的XPCOM存在并且已经注册,Javascript就是可以执行他的。因此hh9527兄的步骤能够精简很多了。 |
|
108楼#
发布于:2005-06-06 15:44
man++:Bugzilla里面的BUG实际上并不是通常理解的Bug,这里其实可以说成是一个用户向开发者交流的地方,里面不少的东西其实都是对Firefox的建议。我们去建议Mozilla.org把Bugzilla改名?或者在Bugzilla显著位置给链接到MFSA? 我想在wiki里弄个辟谣专区,现在打好的一点字在talk页里: User talk:滑溜·图灵 |
|
|
109楼#
发布于:2005-06-06 15:44
呵呵hh9527看来对于XPCOM还不是太了解,说穿了,就是允许javascriptr来调用C/C++编写的代码。但是这个代码必须要通过XPI先安装到本地的Firefox中。 你可能误会了hh9527的意思。hh9527并非针对 ff 漏洞(目前没有),而是针对用户安全意识。之前的讨论中部分用户认为即使误点确认也不应做成危险,并相信在 ff 误点确认是不会构成危险。我看 hh9527 是拟证明这个观念不正确。 |
|
|
110楼#
发布于:2005-06-06 15:44
呵呵,前面那位朋友的帖子我也看了,不过可能你也有点误会他的意思。
他想说的应该是一个浏览器从安全角度出发,应该预料到用户可能会产生误点的情况,从而从设计上便尽量避免误点可能会造成的危害或者尽量避免误点。 Firefox目前的设计我觉得便考虑到了这点,有不在白名单的站点想安装软件的时候,Firefox不会打断用户的浏览而让用户去必须作出选择(这可能就是通常会造成误点的原因),而只是给出一个完全可以不用理会的提示条。而对于一个点Yes或者No都无所谓的用户,又怎么能指望他去把恶意网站自己手工添加到白名单里面? 用浏览器的用户的水平参差不齐,安全意识也各有高下,指望网前培训是不现实的,而要做到尽最大可能的保护不同层次的用户,我觉得这才是一个浏览器设计体贴用户的地方。因为我们不能因为一个用户因为没有安全意识而放弃对这个用户的保护。 |
|
|
111楼#
发布于:2005-06-06 15:44
两人都是对"误点确认"这样一个操作的结果进行预测.
man++认为:就算误操作或被欺骗后,由于权限设置的原因,恶意的javascript不能调用XPI以及执行XPCONN.因此不会对系统或浏览器造成损失. 也就是FF的健壮性(或又叫鲁棒性)比较好 |
|
112楼#
发布于:2005-06-06 15:44
祝hh9527尽快出成果,大家都等着呢...
|
|
|
113楼#
发布于:2005-06-06 15:44
Re: 赶明你做一个 AUTO-FORMAT for Firefox,他们就明白了
hahaha: 看看这段代码: function doBAD() { var pm = netscape.security.PrivilegeManager; pm.enablePrivilege('UniversalXPConnect'); // 关键:获得执行危险脚本的权利 // 然后就可以随意访问本地的资源 var file = Components.classes["@mozilla.org/file/local;1"].createInstance(Components.interfaces.nsILocalFile); // 获得了 ILocalFile 接口,你想干什么不行 do_anything_bad(); } 注意:第三行是关键的一处,执行时会弹出下面截图中的对话框,如果用户在此点击了“是”,他就失去了沙箱的保护,如果他选择“记住本次操作”,在用户的 pref.js 中会增加下面两句: user_pref("capability.principal.codebase.p0.granted", "UniversalXPConnect"); user_pref("capability.principal.codebase.p0.id", "站点地址"); 至于循环要求用户确认就更容易了: while (true) { doBAD(); } |
|
114楼#
发布于:2005-06-06 15:44
Brain1127:两人都是对"误点确认"这样一个操作的结果进行预测.因为现在说实话所有的浏览器最新版都很重视安全问题,所以瞒过用户悄悄后台安装的情况可能已经很不多见了。 因此现在的安全性的焦点也就很大步部分程度上集中到了如何抵御欺诈性的恶意软件上。 实际上,就是如同前面所说的那种“不停弹出窗口,弹到你点为止”造成了很多这样的软件被安全意识不高的用户安装的下场。 目前就我的认识而言,我没有发现Firefox能够给这样的软件以什么机会来骚扰用户。 |
|
|
115楼#
发布于:2005-06-06 15:44
的确是这样,因为 3721 还没有重视 Firefox |
|
116楼#
发布于:2005-06-06 15:44
看了各位的争论,自己也试了一下。
就拿Quicknote扩展开刀吧,因为这个扩展可以向系统写文件。 打开配置文件目录下面的extensions\{C0CB8BA3-6C1B-47e8-A6AB-1FAB889562D9}\chrome文件夹,用rar打开quicknote.jar文件,找到里面的content目录下quicknote.js,然后在最前边加上下面的代码: //MyTest code start----> alert("Hello"); var mypath = "C:\\firefox_test.bat"; if(mypath.substring(0,7) == "file://") { var fUtils = new FileUtils(); mypath = fUtils.urlToPath(mypath); } var myf = FileIO.open(mypath); if(!myf) alert("false"); var mywriter ; var myfiledata = "cmd.exe"; mywriter = FileIO.write(myf,myfiledata,'w',getQNPrefs().get("charset")); //myf.close(); //MyTest code end----< 最后再把这个修改后的文件写回到jar包里面,启动FireFox,首先就会出现一个hello的popup,然后到C盘根目录下,看看能不能找到firefox_test.bat文件? 以上测试需要安装QuickNote0.6版扩展,测试在windows2000日文版+FireFox1.04日文版通过。 |
|
117楼#
发布于:2005-06-06 15:44
看了各位的争论,自己也试了一下。
就拿Quicknote扩展开刀吧,因为这个扩展可以向系统写文件。 打开配置文件目录下面的extensions\{C0CB8BA3-6C1B-47e8-A6AB-1FAB889562D9}\chrome文件夹,用rar打开quicknote.jar文件,找到里面的content目录下quicknote.js,然后在最前边加上下面的代码: //MyTest code start----> alert("Hello"); var mypath = "C:\\firefox_test.bat"; if(mypath.substring(0,7) == "file://") { var fUtils = new FileUtils(); mypath = fUtils.urlToPath(mypath); } var myf = FileIO.open(mypath); if(!myf) alert("false"); var mywriter ; var myfiledata = "cmd.exe"; mywriter = FileIO.write(myf,myfiledata,'w',getQNPrefs().get("charset")); //myf.close(); //MyTest code end----< 最后再把这个修改后的文件写回到jar包里面,启动FireFox,首先就会出现一个hello的popup,然后到C盘根目录下,看看能不能找到firefox_test.bat文件? 以上测试需要安装QuickNote0.6版扩展,测试在windows2000日文版+FireFox1.04日文版通过。 |
|
118楼#
发布于:2005-06-06 15:44
|
|
|
119楼#
发布于:2005-06-06 15:44
无论用什么,用户的安全意识是不能掉以轻心的
|
|