编程我不懂，不过从逻辑上说，一个完全开放的系统，受到攻击的可能性要比封闭环境大的多。这是很简单的命题。
真不明白狂热fans们为什么整天拿安全性说事，FF最主要的是DIY精神，这和L还有foobar的道理是一样的。
很不喜欢以讹传讹的夸赞和对其他浏览器无端的贬低。
FF的推广不应该是这样的，如果真的想为Spread FF出力，就应该理性一些。以前我就说过了，现在大部分fans的言论实际上是在给FF自掘坟墓……

这个测试是接续这个讨论的： https://www.firefox.net.cn/newforum/view ... 00ce#41654。

讨论中部份用户认为网上安全是浏览器责任，即使用户随便按"确认"，浏览器也应该能保障用户，有用户认为要求用户有安全意识是悲剧。亦有用户指出即使在 FF 随便按确认，也会透过 whitelist 基制得到保护。这个测试就是证明这种观念/说法不正确。

如果你在"确认"前会考虑安全，不会为了快些看到页面而"确认"，这测试对你来说是没作用的。点永不提示及取消便结束。

但如果你认为 FF 能提供足够安全保障，即使随便"确认"也不会构成危险，这测试便是一个反证。

zerty：确定不需要下载吗？那为什么我放到IIS里点，根本没有你所说的效果呢？回到原帖

我这里没有 IIS，过几天我装一个 Apache 试试，应该可以解决......

我这里没有 IIS，过几天我装一个 Apache 试试，应该可以解决......

给大家提供几个超小型HTTP服务器,没有IIS、Apache等大家伙的不用装那些也能做server模式测试,以下服务器软件均小于100KB:
Abyss Web Server:
http://www.hanzify.org/index.php?Go=Show::List&ID=6403
miniServer:
http://www2.skycn.com/soft/5946.html
Small HTTP server:
http://www2.skycn.com/soft/1283.html
MyWeb:
http://www2.skycn.com/soft/16319.html

Apache测试我这里试过了，不会出现提示。

不过我认为不应该过分相信FireFox的安全性，应该从各个方面提高安全性，包括病毒防火墙、网络防火墙，还有就是日常使用尽量不要以administrator用户随便浏览不熟悉的网站，最后一点尤为重要。Unix、Linux用户都知道不能随便以root用户运行程序，访问陌生站点。

zerty：
确定不需要下载吗？那为什么我放到IIS里点，根本没有你所说的效果呢？回到原帖

在Apache2上测试了也没有效果，看样子是按照默认值不授权处理来执行代码了。

问个题外话，mozilla使用的JavaScript是不是W3C标准的，有没有Mozilla的扩展功能，比如对本地文件系统的访问什么的。

如果不对JavaScript拓展怎么能实现XUL界面的功能呢？怎么能有功能强大的FF扩展呢？

关键是远程网页上执行的JavaScript是否符合标准！

我简单跟踪了一下，是这一句没有通过

pm.enablePrivilege('UniversalXPConnect');

抛出了异常，所以后面的代码没有执行到

在 mozilla 的站点上查询了一下，看到这篇文章：
http://www.mozilla.org/projects/securit ... jssec.html

没有仔细阅读，bad.html 可能需要做一下 javascript 的数字签名，才能让上面的那一句代码弹出让用户的确认的对话框，我现在没有功夫细研究了，过几天仔细读明白了这一段再跟大家汇报。如果哪位搞明白了，也请分享给我：hh9527@gmail.com

不过，这个脚本没有施展其恶意，并不是因为它不能，而是被 Firefox 的签名机制限制住了，实际上 IE 也有数字签名的保障，3721 不同样是经过数字签名的么？数字签名只能确保用户知道他在跟谁打交道，而不能确保签过名的 WEB 应用就是安全的。

呵呵，不过发现各位还真是很认真的，尤其是滑溜·图灵、fiag、asahi这几位兄弟，这一点我喜欢，推广 Firefox 的同仁都应当有“求甚解”的精神啊。

滑溜·图灵说得“沙盒也是分复杂度的”，我不是很理解，能否解释一下？

另外，回答几位朋友的问题：
bad.html 里面用的都是标准的 javascript，但是用到了 mozilla 的专有技术 XPCOM 库，这和 IE 里面用到的 ActiveX 本质上很接近，我是通过 XPCOM 库中的几个组件来访问本地资源的。

slrey：编程我不懂，不过从逻辑上说，一个完全开放的系统，受到攻击的可能性要比封闭环境大的多。这是很简单的命题。
真不明白狂热fans们为什么整天拿安全性说事，FF最主要的是DIY精神，这和L还有foobar的道理是一样的。
很不喜欢以讹传讹的夸赞和对其他浏览器无端的贬低。
FF的推广不应该是这样的，如果真的想为Spread FF出力，就应该理性一些。以前我就说过了，现在大部分fans的言论实际上是在给FF自掘坟墓……回到原帖

恰恰相反，反倒是总是有人喜欢拿着“安全性，漏洞”等词语来评价FX（比如瑞星等IT网站的编辑……）

看到标题吓了一跳，进来看完才发现这个恶意代码需要通过数字签名，而且Firefox也会给出警告提示，放心多了

我的实验结果：点击按钮后出现对话框，选中“记住……”后点击“拒绝”（在IE里面我就是这样做的），然后关闭网页，重新打开网页，点击网页上的按钮却再也没有出现对话框。
这种试验结果说明了什么我不知道，但是我知道如果是IE，无论你什么时候打开都会有对话框出现。

slrey：编程我不懂，不过从逻辑上说，一个完全开放的系统，受到攻击的可能性要比封闭环境大的多。这是很简单的命题。
回到原帖

这是什么逻辑呢？我倒很想知道这个“不懂编程”的人从哪里得到的这个“很简单的命题”？

windows和Linux哪个是开源软件？哪个受到攻击的可能性大很多？

asahi：Apache测试我这里试过了，不会出现提示。

不过我认为不应该过分相信FireFox的安全性，应该从各个方面提高安全性，包括病毒防火墙、网络防火墙，还有就是日常使用尽量不要以administrator用户随便浏览不熟悉的网站，最后一点尤为重要。Unix、Linux用户都知道不能随便以root用户运行程序，访问陌生站点。回到原帖

我也同意，所以我想用firefox和IE作横比是合适的，为什么不能跟IE比？
同样的上网习惯，用IE就容易出事，这就是结果，退一万步说，这一点
上firefox就是比ie安全。

slrey：编程我不懂，不过从逻辑上说，一个完全开放的系统，受到攻击的可能性要比封闭环境大的多。这是很简单的命题。
回到原帖

不是这样子的。

比如 DES、RSA、MD5 这样的加密和数字签名软件，算法必须公开的。公开的、经过大家审查的更安全，这是所有密码专家的共识。