AdWare的问题不是你联系的么？你不是认为你的N多个 AdWare 和 IE 有关么？

[quote="kmc"]
同样的使用习惯，我使用Maxthon+自己精心编写的过滤规则，卡巴斯基还开着，用两个月拿AdAware一扫就40多个间谍文件，第一次扫大概扫出了180余个。用firefox到现在，从来没有扫出来，唯独几个扫出来的也是在ie的临时文件目录下，那是不得已用ie看某些网站的结果，现在我连卡巴斯计也基本不开了，只在下载了东西要安装的时候再开。

那一百多个Adware出现在ie的临时文件夹里说明了什么？何况ie我还是处处小心的使用，SpywareBlaster的host文件升级了N多次，你说如果是用户授权，我不知道对于一个比我还菜的用户，ie还有什么安全可言，firefox基本上是按照默认的安全设置，结果如何呢？

请问 Flashgot 是指https://addons.mozilla.org/extensions/?application={ec8030f7-c20a-464f-9b0e-13a3a9e97384}
上那个排榜首的 Flashgot 么.

我也是 firefox 的 FANS。但 AdWare 的问题，并不是 Firefox 或者 IE 能检测出来的，还是你作为用户授权的。举例来说：Flashgot 能连接 Firefox 和多款下载软件，但你知道么：Flashget 也是著名的 AdWare。Firefox 不是照样不去阻止你使用它？

“欧洲的...”，呵呵，你知道为什么？如果不知道为什么，那很难说不是“人云亦云”了

原来讲出事实是会被称为“人云亦云”的

hh9527：

请引用出来....回到原帖

地球人都知道:
https://www.firefox.net.cn/newforum/viewtopic.php?t=6239&postdays=0&postorder=asc&&start=0

　　对于使用IE6.0的用户来说有个可怕的漏洞，该漏洞的存在导致可以在网页中执行任何程序，并可以绕过IE的ActiveX安全设置，即便你禁用ActiveX控件，网页中的恶意程序照样可以运行！举个例子，如果网页中含有下列代码，可以无声无息地执行你的记事本程序！想想看，如果这里不是记事本程序，换作其他的程序会怎么样？代码如下：

<body></body>
<SCRIPT>
html='<OBJECT CLASSID="CLSID:12345678" '
html+=' CODEBASE="c:/windows/notepad.exe"></OBJECT>';
/注意：上面的notepad.exe的路径请修改为你系统对应的路径document.body.innerHTML=html;
</SCRIPT>

　　这个漏洞的主要原因是IE安全设置都是针对非本地的页面或交互的，对于本地的安全设置IE是最大信任的。如果你注意看IE的安全设置，都是对 Internet和Intranet上WEB服务器而言的，根本就没有对本地文件的安全设置。概括说来就是IE对本地安全采用最大信任原则。



FF不算是简单的“替”用户决定安全性。只不过是综合了历史上浏览器曾经出现过的安全性隐患加以处理的结果。
一句话“和尚头上的虱子”
明摆在那里的事情为什么还要纠缠不休呢？比如对ActiveX的安全性如何处理的问题

这个仅仅是微观上的安全性，还有一种宏观上的安全性，就是FF是开源的项目。bug大家查大家都知道。不像微软，只有一个项目组负责bug处理。
国内某些枪手往往说MS的科研力量如何如何强大比如说有多少多少博士硕士天才等等。。
殊不知，世界上能够驱动一个人把事情做到尽善尽美地步的就是这个人的兴趣爱好。而开源的项目就恰好利用了这一特点。程序员不是为了金钱而研究程序。
如果非要比学历，FF开发小组的资历应该不会比微软IE开发小组的差到哪里吧。FF志愿者里面不会缺少各个著名大学CS专业的专家吧

感觉越来越陷入逻辑上的扯皮了。呵呵

按照这种推论，任何软件都是在替用户作出选择，因为没有任何软件能够满足用户的所有需要，或者说能够满足用户的所有选择。你上面说的
引用:
IE 的方式是由用户决定

看来也就很有问题了。


引用:
汽车生产商在设计汽车时要考虑到不懂驾驶的驾驶者了

网络是网络,汽车是汽车.若民用普通科技若不向易用发展,没人会用.若汽车现在仍像刚发明时那样难用,谁会去开?
IE用的人多,UI简洁易用是原因之一,而若要它安全对电脑盲而言,需要的知识却太多
引用:
就等如不带安全套发生性行为及不看灯号过马路。出了事能怪谁？

怪无人提醒.软件也一样,用户无知识时UI不提醒.做易用的Broswer必须考虑所有普通网民+电脑盲,这也是近几年傻瓜软件越来越多的原因之一
引用:
跟据mozilla的说法,mozilla不支持activex是一个feature,以加强安全性,即是说故意不开发.

若支持了ActiveX,那么已有的恶意控件也将危害到FF,如果他们真的只是故意看ActiveX不顺眼,早就把那个"Mozilla ActiveX"支持插件封掉了
引用:
但 mozilla 的 17644 条未解决的 bug 就说不上好。

Bug≠漏洞
仔细看大部分是些什么:
代码:
making gecko easier to use
Make emacs textfield keybindings a pref
RFE: Control+L/Alt+D then Escape to remember focus
Need keybindings for various sidebar panels

Bugzilla收集的是对软件的所有不满+对UI友好等的改进建议,而非纯修补漏洞/Bug
引用:
IE 的方式是由用户决定

实际上是因为IE不安全,所以用户不得不帮它安全,若IE没安全意识+其他东西帮助怎么个安全法?
FF同样需要安全意识协助,但对普通无技术网民而言,它绝对比IE对人安全意识的依赖轻得多,必须ActiveX的也可自行找到插件

昨天我火气大了,请原谅^_^
-------------------------------------------------------
以下言论仍较极端:
注意:下面的"安全"均仅指Browser本身的安全,我无意将PC安全=Browser安全
我的想法:现在请想象MS是房地产商+房屋装潢商^_^.
MS垄断房子(Win)+装修(强绑MS软件),但被发现:
-------------------------------------------------------
厨房(IE)外观漂亮,不过:
1.不教天然气安全知识(不醒目提醒IE什么怎么不安全,如何改/用)
2.窗帘、窗外防盗护栏不完善(安全设定深层技术选项[如本地文件访问]少,默认配置不安全)
3.设备维护应付差事(一些极度高危漏洞发现后不在1周内修复)
4.冰箱(Trident)基本可用,制冷技术(IE专有标准)混乱,不节能+无氟(不支持新技术+标准)
-------------------------------------------------------
但无处诉讼,于是:
1.厨房(IE)安全被其他公司(网站,杂志,软件商)包揽"商机"大赚其钱,帮你防厨房爆炸,但若无技术仍常"享受"爆炸
2.窗帘、防盗护栏均已被绑定,没什么后路
3.隐患成群无技术难发现,却只见维护缓慢(去年一些高危漏洞网上大面积公开后几个月MS才说修)
4.因一切被MS垄断,新技术推广困难(web技术死气沉沉)
-------------------------------------------------------
前几年不易知还有好厨房(非Trident浏览器)...用户被MS所绑
(网景被微软+AOL绑票,SpreadFirefox等尚未出现帮助Mozilla宣传)
-------------------------------------------------------
但现在不同了,Firefox出现了:
醒目提醒如何安全(Help档、UI,至少目前无需成堆公司,杂志,网站,软件帮助)
窗帘+窗外防盗护栏已完善(默认配置已很安全)
设备维护非常及时(今年发现的高危安全漏洞均几天内修复)
节能+无氟,但不能再装制作差的食品(支持大量新好技术,但不支持IE标准)
-------------------------------------------------------
于是这些靠IE吃饭的公司+杂志+网站+软件商+急了疯了想让FF也不安全+挑刺儿(当然不安全不能都归结到MS身上)

而会怎么让IE安全的人用FF突然不用使劲捣鼓Browser安全了,不知所措...

这里只是说Broswer安全,整体PC安全自然要靠其他东西,但该Broswer去干的份内之事,MS却交给其他实体

最后的事实是:
用户为安全必须自己替IE着想
而Mozilla自动为用户着想,否则没人捐钱,它没活路

我认为:软件是为用户服务的,作者无权要求用户须为软件服务


firetune只是一个自动化参数设置工具，不会和Firefox同时运行，就像Windows优化大师一样，不使用也不会有什么问题，有的参数也是可设可不设，如果真的可以通过设置参数大大改变软件的性质，那么开发者应该在发布软件前将参数全部设置到最佳状态，难道开发者不了解自己的软件。另外我看看了FireTune设置的那几项参数是可以完全通过手动设置about:config办到。比如正对不同网速的设置，这个在about:config中已经广为流传，搜索论坛也可以找到，后面的不弹出提示框，就是browser.xul.error_pages.enabled，有关SSL的Cache Object选项就不太用得着，还有一个选项就隐藏得很深还不太了解。只是个小工具可有可无，即便是普通用户也不见得非要不可。

可是IE没有给出任何像about:config一样的设置方法，而且所谓预防ActiveX安装的办法是拙劣的，就是用控件的标识码欺骗IE，让IE认为已经装上了不用再装了。然而标识代码(ClassID)是可以有近乎无穷的，所以是管一时管不了一世。

SP2还不错，可以让系统变得更慢，我想还是用揩屁股的软件ZA把手大门的好，MS自己揩得不怎么干净。Maxthon的ActiveX提示栏不是很好么，还可以在98,2000下用。


呵呵hh9527看来对于XPCOM还不是太了解，说穿了，就是允许javascriptr来调用C/C++编写的代码。但是这个代码必须要通过XPI先安装到本地的Firefox中。

hh9527的想法看上去很美丽，实际上不可能实现(当然除非找到了Firefox在安装XPI上的BUG)，主要就在第3步，即使获得了XPCONN的权利，但是你光凭一段javascript，如何去修改站点白名单？或许XPI能够修改这个名单，但是如果你的这个XPI根本就没有被安装，你的 Javascript从何去调用？

那一百多个Adware出现在ie的临时文件夹里说明了什么？何况ie我还是处处小心的使用，SpywareBlaster的host文件升级了N多次，你说如果是用户授权，我不知道对于一个比我还菜的用户，ie还有什么安全可言，firefox基本上是按照默认的安全设置，结果如何呢？

虽然 AdWare 的问题和浏览器关系不大（你自己也承认），但既然你说到这里，我还是愿意，再把我的观点第 N 次重复一下。我始终要说明的是：Firefox 和 IE 相比从机制来说相比，并没有发明新的更可靠的安全机制，所以它的安全性和 IE 相当。当然目前针对 IE 制作的木马、病毒、AdWare等恶意插件比较多（这是因为 IE 的用户群更大，更有攻击的价值），所以目前使用 Firefox 是比使用 IE 安全，但这并不表示从机制上 Firefox 比 IE 更安全。安全性指的是“不能做不该做的事情”，而不是“不去做不该做的事情”


这是一个 BUG 问题，而不是机制上的，是 BUG 就会很快被解决，你可以去看看 MS 的 HOTFIX。同样 Firefox 也有 BUG 问题，比如它为什么很快发布了 1.0.4，就是为了解决它在 1.0.3 的安全问题。据网上消息，即使 1.0.4 好像也有已发现的安全方面的 BUG（本论坛上就有消息，你可以去看看，好像叫“隐藏了 7 年的缺陷”）

可是IE没有给出任何像about:config一样的设置方法，而且所谓预防ActiveX安装的办法是拙劣的，就是用控件的标识码欺骗IE，让IE认为已经装上了不用再装了。然而标识代码(ClassID)是可以有近乎无穷的，所以是管一时管不了一世。

你大概没有试过：简单的更改 IE 的安全级别吧。

虽然 AdWare 的问题和浏览器关系不大（你自己也承认）

我可没承认…………

Flashget的Adware和间谍cookie不能混为一谈吧？

我现在是在ie和firefox对付间谍cookie方面作比较，这方面还能说跟浏览器关系不大？两个浏览器，ie你小心也无用，firefox大意似乎也无大碍。

用firefox到现在，从来没有扫出来，唯独几个扫出来的也是在ie的临时文件目录下

呵，我也是这样……也不知道那些searcherbar什么的是什么时候溜进去的……

就日常使用的前提下，fx比IE安全。
特殊情况下，比如几年之后……fx的安全性也不会比IE差

说到用户数什么的，似乎要比较还只能等着firefox用户和ie用户各分江山一半，再看看3821他们的行为能力，才能见分晓了，那这样我们firefox的fans真是够等了lol

远的也就不等了，这帖我收声，我就看ff1.1如何fight ie7吧！

ydgi：请问 Flashgot 是指https://addons.mozilla.org/extensions/?application={ec8030f7-c20a-464f-9b0e-13a3a9e97384}
上那个排榜首的 Flashgot 么.


原来讲出事实是会被称为“人云亦云”的回到原帖

别人怎么说，自己就怎么说，就叫“人云亦云”；如果别人怎么说，但自己明白别人为什么这么说，则不是。把“欧洲的....”抬出来，而不说明其理由，可不就是“人云亦云”么？

0.数字签名有什么难度？你了解数字签名的作用和原理么？一知半解，就不要乱说！数字签名的目的是让用户知道为它提供WEB服务的是谁，而不能确保其没有恶意，这在所有浏览器里都一样。也就是说：恶意的脚本和善意的脚本具备获得数字签名时，没有任何不同！
例如：3721作为一个有恶意的插件，仍然可以在安装时出示其数字签名。

我经过这几天的研究，已经初步了解了获得 Firefox/Gecko 使用数字签名的过程：

1. 首先，从一些认证服务商那里购买认证，由它向你你提供一个认证书。根据认证的安全性不同、目的不同，价钱也不同（需要几十到几千 $）。购买时，只要付钱即可，对方不会问你任何有关你目的的问题

2. 使用数字签名工具对你的网站、代码或者页面进行签名（微软和Mozilla都提供各自数字签名工具，都应该是免费的），数字签名工具在签名时需要你提供你获得的认证书

3. Mozilla 的数字签名工具会将你签过名的文件（包括html和脚本）打成一个jar包，这个包是不可以再修改的（如果修改，必须重新签名），然后就可以在你的普通页面中通过：jar:.... 的方式来访问该包内部的页面和脚本，如果数字签名过的脚本，向浏览器提出突破沙箱限制的请求，Firefox会首先检查这个包是否是经过数字签名的，如果是，则弹出对话框，显示相应的数字签名信息（供应商是谁、认证是谁提供的），并要求用户确认是否信任该脚本，一旦信任，该脚本就突破了浏览器的沙箱限制，获得了操作系统级别的所有权利，可以访问操作系统允许的所有资源（包括本地资源）。也就是说你一旦信任了一个不该信任的数字签名（哪怕只是一次），你都有可能无法挽回你损失了（因为脚本可以控制几乎所有资源，它如果心怀恶意.......）

4. 需要指出的是，一旦你从认证商那里获得了认证书，就可以反复对你的文件进行签名，不再需要再次购买新的认证。

5.我因为缺少 $，所以无法购买认证书，所以示例脚本 bad.html 就暂时无法数字签名，但这并不表示不可以。有志于开发恶意插件/脚本的组织，只要付出少量的 $（对于商业组织而言几十到几千都算比较少的），就可以很容易获得数字签名，剩下只需要等待用户一次（只需一次）不经意的点击即可。

还是那句话，安全责任在用户，浏览器（无论是 IE 或者 Fx）都从机制上已经做到了它能做到的一切。

另外说一句，很多人认为只有 Firefox 可以让申请权限的对话框不反复弹出，其实 IE 及基于 IE 的 Maxthon 之类的浏览器也可以做到。

0.证书存在有效期,"3721实名"的证书没被吊销,是因为目前其证书截止日期为2006.1.20及3721在中国并没算违法,无吊销的理由
1.CA全是些除了发证赚钱什么都不管的机构?那数字签名还有什么意义,用它有什么安全可言?...你说的这是哪些CA,写出来
2.同意
3.现在很多CA提供了证书免费试用服务,楼主可以去尝试申请,期待你的成果.
4.嗯,但证书过期后就必须再买新的
--------------------------------------------------------
CA没那么利欲熏心,以天威的代码签名协议为例:

代码签名数字证书订户协议

在申请、接受或使用VERISIGN代码签名数字证书（以下称"证书"）之前，您必须先详阅本"代码签名数字证书订户协议"(以下称"订户协议")。若您不同意本订户协议之条款，请勿申请、接受或使用该证书。
............
5.吊销。如果您发现或有理由相信您的私钥或保护该私钥的启用数据遭到损害，或着证书中的信息不正确或变更，或者如果您的机构名称和/域名已变更，您必须立即通知VeriSign要求吊销该证书。您也可以在任何时候根据需要通知VeriSign吊销证书。无论在何种情形，您必须通知您认为有可能会信任该证书，或依靠该证书或该证书相对应的数字签名来提供服务的人。如果您在收到VeriSign的付款通知45日内没有支付款项，VeriSign保留吊销您的证书的权利。为保证VTN的安全和完整，VeriSign还保留在任何时候在不通知您的情况下吊销您证书的权利，如果VeriSign根据自己的判断断定您违反本订户协中的义务或有其他会损害到VTN活动。
............
6.吊销或到期的责任。当您的数字证书期满或该证书吊销时，您应立即把该证书从所安装的机器中永久删除，且往后在任何情况下不得使用。
............
9.2您的陈述和保证。您向VeriSign和任何信赖您证书的人陈述和保证：
（1）您在证书申请中提供给Verisign的和所有您向VeriSign陈述的所有信息都是准确的；
（2）您提供的任何证书信息（包括您的邮件地址）没有侵犯任何第三方的知识产权；
（3）您提供的证书申请信息（包括您的邮件地址）未曾也将不会用做非法用途；
（4）自从您的私钥产生以后，您是并将继续是您的私钥唯一拥有人，任何未获授权的人迄今没有也将不会接触您的私钥；
（5）到目前为止您是，并将继续是个人身份识别码、软件或硬件等保护您私钥的机制唯一拥有者；
（6）您只会将您的证书用于与本订户协议相符的、被授权的或合法的用途和目的；
（7）您是作为最终用户来使用您的证书，而非作为一个签发证书、签发证书吊销列表等的认证机构在使用该证书；
（8）通过使用您的私钥创建的数字签名是您的数字签名，并且在该数字签名创建时该证书是已被接受并可使用（未到期或吊销）；
（9）您明确同意将本订户协议作为获得证书的条件；及
（10）除非预先获得VeriSign的的书面许可，您不会监视、干扰、或拆解VTN的技术实现，并不会采用其他方式危害VTN的安全。您知悉并同意您能够获得足够的信息以作出深思后的决定，确信您在多大程度上信赖一个VTN体系下数字证书中的信息。您有责任自主决定是否信赖一张数字证书，您对是否信赖该证书里的信息承担完全的责任；以及如果您没有履行信赖方协议规定的信赖方义务，您将承担该法律后果。

原文:http://www.itrus.com.cn/products/codesign/info.asp
正在Searching其他CA的协议...

Flashget的Adware和间谍cookie不能混为一谈吧？

间谍 cookie？这倒是没听说过的名次，能解释一下么？

hh9527：

间谍 cookie？这倒是没听说过的名次，能解释一下么？回到原帖

只知道　IE 和 Firefox 都有针对 cookie 的 Privacy 选项。

hh9527：

间谍 cookie？这倒是没听说过的名次，能解释一下么？回到原帖

最后一贴： Tracking cookies. 例如有一个叫做imrworld的站点总是发这样的cookies。

......

协议本身所谓的“非法”和“不合法”是针对当地法律的，按照中国法律，正如你所说的 3721 并没有触犯任何法律，但它仍然是一个恶意的插件。各种 CA 不能保证你接触到的WEB应用不安全，它只能向你证明，你接触到的WEB应用是经过签名的供应商直接提供给你的，而不是经过第三方篡改过的。你还是必须自己决定是否信任供应商。

CA 不是利欲熏心，而是技术上它无法保证，并且数字签名的目的也不是直接保障安全。

至于你说得认证存在有效期的问题，的确是这样。我疏忽了，向你致敬。

另外，你可以提供几个国内的免费认证获取网址么？我去试试看。