呵呵! 真的一晚白头，竟然已经是"老狐狸"了。

abc兄弟看来现在是乏了，歇歇先，去买个西瓜，大家降降火，这大热天的，上火也容易啊。 看一个个都有点脸红脖子粗的，一个晚上就出了7页论题。

...多说无益，赶明，我们做一个 AUTO-FORMAT for Gecko，他们就明白了，我来简单设想一下这个的 SRS：
1. 打开网页时自动执行（可以在 body 的 onload 里面做）
2. 向用户申请执行 xpconnect 的权限（会导致弹出对话框，问用户要不要）
3. 一旦用户允许了，javascript 就突破了沙箱的限制，好戏就上演了：
a. 自动将本站点设为允许安装扩展的站点
b. 自动下载一个 C 写的 XPCOM 插件（autoFormat.xpi: 该插件能调用 format c: /u /q /v:hahah）并安装
c. 询问用户：你吃饭了么？如果吃了，就执行插件的内容，如果没吃，就继续问，直到他选择“吃了”为止

因为是做在 onload 里面，所以每一次刷新或新进入这个页面，Firefox 都会提示用户是否给予这个站点 xpconnect 的权限，开始用户还有些谨慎，选择拒绝。但问的多了，一烦躁就给选了同意，结果悲惨就降临了。呵呵，使用 Firefox 也可以这么不安全啊！

有时间的话做一个测试出来交流一下，相信对大家增加安全意识应该会有帮助(auto shutdown 都足够了 :D )，可惜我不懂 xpcom。 :(

有时间的话做一个测试出来交流一下，相信对大家增加安全意识应该会有帮助(auto shutdown 都足够了 )，可惜我不懂 xpcom。

多发现一些安全隐患是好事，不过可能在做之前还是要先考虑一下下面这个问题，这个可能也是最重要的问题，如何把含有恶意XPCOM组件的XPI安装进去：

hh9527的想法看上去很美丽，实际上不可能实现(当然除非找到了Firefox在安装XPI上的BUG)，主要就在第3步，即使获得了XPCONN的权利，但是你光凭一段javascript，如何去修改站点白名单？或许XPI能够修改这个名单，但是如果你的这个XPI根本就没有被安装，你的 Javascript从何去调用？

刚才看了一下，Javascript根本就没有XPconn的权力一说，只要你的XPCOM存在并且已经注册，Javascript就是可以执行他的。因此hh9527兄的步骤能够精简很多了。

man++：Bugzilla里面的BUG实际上并不是通常理解的Bug，这里其实可以说成是一个用户向开发者交流的地方，里面不少的东西其实都是对Firefox的建议。

里面也确实有不能得到及时处理的Bug，因为对其关注的人不多，但是对于安全问题，Mozilla是从来没有含糊的回到原帖

我们去建议Mozilla.org把Bugzilla改名?或者在Bugzilla显著位置给链接到MFSA?

我想在wiki里弄个辟谣专区,现在打好的一点字在talk页里:
User talk:滑溜·图灵

呵呵hh9527看来对于XPCOM还不是太了解，说穿了，就是允许javascriptr来调用C/C++编写的代码。但是这个代码必须要通过XPI先安装到本地的Firefox中。

hh9527的想法看上去很美丽，实际上不可能实现(当然除非找到了Firefox在安装XPI上的BUG)，主要就在第3步，即使获得了XPCONN的权利，但是你光凭一段javascript，如何去修改站点白名单？或许XPI能够修改这个名单，但是如果你的这个XPI根本就没有被安装，你的Javascript从何去调用？

你可能误会了hh9527的意思。hh9527并非针对 ff 漏洞(目前没有)，而是针对用户安全意识。之前的讨论中部分用户认为即使误点确认也不应做成危险，并相信在 ff 误点确认是不会构成危险。我看 hh9527 是拟证明这个观念不正确。

呵呵，前面那位朋友的帖子我也看了，不过可能你也有点误会他的意思。

他想说的应该是一个浏览器从安全角度出发，应该预料到用户可能会产生误点的情况，从而从设计上便尽量避免误点可能会造成的危害或者尽量避免误点。

Firefox目前的设计我觉得便考虑到了这点，有不在白名单的站点想安装软件的时候，Firefox不会打断用户的浏览而让用户去必须作出选择(这可能就是通常会造成误点的原因)，而只是给出一个完全可以不用理会的提示条。而对于一个点Yes或者No都无所谓的用户，又怎么能指望他去把恶意网站自己手工添加到白名单里面？

用浏览器的用户的水平参差不齐，安全意识也各有高下，指望网前培训是不现实的，而要做到尽最大可能的保护不同层次的用户，我觉得这才是一个浏览器设计体贴用户的地方。因为我们不能因为一个用户因为没有安全意识而放弃对这个用户的保护。

两人都是对"误点确认"这样一个操作的结果进行预测.

man++认为:就算误操作或被欺骗后,由于权限设置的原因,恶意的javascript不能调用XPI以及执行XPCONN.因此不会对系统或浏览器造成损失.

也就是FF的健壮性(或又叫鲁棒性)比较好

祝hh9527尽快出成果,大家都等着呢...

hahaha：

刚才看了一下，Javascript根本就没有XPconn的权力一说，只要你的XPCOM存在并且已经注册，Javascript就是可以执行他的。因此hh9527兄的步骤能够精简很多了。回到原帖

看看这段代码：
function doBAD() {
  var pm = netscape.security.PrivilegeManager;
  pm.enablePrivilege('UniversalXPConnect'); // 关键：获得执行危险脚本的权利
  // 然后就可以随意访问本地的资源
  var file = Components.classes["@mozilla.org/file/local;1"].createInstance(Components.interfaces.nsILocalFile);
  // 获得了 ILocalFile 接口，你想干什么不行
  do_anything_bad();
}

注意：第三行是关键的一处，执行时会弹出下面截图中的对话框，如果用户在此点击了“是”，他就失去了沙箱的保护，如果他选择“记住本次操作”，在用户的 pref.js 中会增加下面两句：
user_pref("capability.principal.codebase.p0.granted", "UniversalXPConnect");
user_pref("capability.principal.codebase.p0.id", "站点地址");

至于循环要求用户确认就更容易了：
while (true) {
   doBAD();
}

Brain1127：两人都是对"误点确认"这样一个操作的结果进行预测.

man++认为:就算误操作或被欺骗后,由于权限设置的原因,恶意的javascript不能调用XPI以及执行XPCONN.因此不会对系统或浏览器造成损失.

也就是FF的健壮性(或又叫鲁棒性)比较好回到原帖

因为现在说实话所有的浏览器最新版都很重视安全问题，所以瞒过用户悄悄后台安装的情况可能已经很不多见了。

因此现在的安全性的焦点也就很大步部分程度上集中到了如何抵御欺诈性的恶意软件上。

实际上，就是如同前面所说的那种“不停弹出窗口，弹到你点为止”造成了很多这样的软件被安全意识不高的用户安装的下场。

目前就我的认识而言，我没有发现Firefox能够给这样的软件以什么机会来骚扰用户。

目前就我的认识而言，我没有发现Firefox能够给这样的软件以什么机会来骚扰用户。

的确是这样，因为 3721 还没有重视 Firefox

看了各位的争论，自己也试了一下。

就拿Quicknote扩展开刀吧，因为这个扩展可以向系统写文件。

打开配置文件目录下面的extensions\{C0CB8BA3-6C1B-47e8-A6AB-1FAB889562D9}\chrome文件夹，用rar打开quicknote.jar文件，找到里面的content目录下quicknote.js，然后在最前边加上下面的代码：


//MyTest code start---->

alert("Hello");
var mypath = "C:\\firefox_test.bat";
if(mypath.substring(0,7) == "file://") {
    var fUtils = new FileUtils();
    mypath = fUtils.urlToPath(mypath);
}
var myf = FileIO.open(mypath);
if(!myf)
alert("false");

var mywriter ;
var myfiledata = "cmd.exe";
mywriter = FileIO.write(myf,myfiledata,'w',getQNPrefs().get("charset"));
//myf.close();

//MyTest code end----<


最后再把这个修改后的文件写回到jar包里面，启动FireFox，首先就会出现一个hello的popup，然后到C盘根目录下，看看能不能找到firefox_test.bat文件？

以上测试需要安装QuickNote0.6版扩展，测试在windows2000日文版+FireFox1.04日文版通过。

看了各位的争论，自己也试了一下。

就拿Quicknote扩展开刀吧，因为这个扩展可以向系统写文件。

打开配置文件目录下面的extensions\{C0CB8BA3-6C1B-47e8-A6AB-1FAB889562D9}\chrome文件夹，用rar打开quicknote.jar文件，找到里面的content目录下quicknote.js，然后在最前边加上下面的代码：


//MyTest code start---->

alert("Hello");
var mypath = "C:\\firefox_test.bat";
if(mypath.substring(0,7) == "file://") {
    var fUtils = new FileUtils();
    mypath = fUtils.urlToPath(mypath);
}
var myf = FileIO.open(mypath);
if(!myf)
alert("false");

var mywriter ;
var myfiledata = "cmd.exe";
mywriter = FileIO.write(myf,myfiledata,'w',getQNPrefs().get("charset"));
//myf.close();

//MyTest code end----<


最后再把这个修改后的文件写回到jar包里面，启动FireFox，首先就会出现一个hello的popup，然后到C盘根目录下，看看能不能找到firefox_test.bat文件？

以上测试需要安装QuickNote0.6版扩展，测试在windows2000日文版+FireFox1.04日文版通过。

hh9527：

的确是这样，因为 3721 还没有重视 Firefox回到原帖

3xxx重视又如何。他有机会吗？

无论用什么，用户的安全意识是不能掉以轻心的