请教一个问题：Firefox中可以访问到Windows的注册表信息吗？

以前从没想过这个问题。前几天，同事的 Skype 账号，在网上让别人充值。结果别人让他提供 Skype 账号和密码，他就给了，冲完值后，他立刻改了Skype密码，还用新密码登录打了电话，以为这样就安全了。结果过了2天，他再次用Skype打电话时，发现不能登录了，就用Skype的忘记密码方法，让Skype发送一个链接到他的E-Mail中，然后通过这个链接重设密码。结果这2天他试了6次都不成功（24小时内只能用3次）。后来我在帮他处理的过程中发现，可以通过Skype的消费记录找回密码，于是我马上怀疑帮他充值的人黑了他的Skype了。然后我在我的电脑Firefox浏览器中，用英文帮他给Skype的客服写了一个反馈，后来Skype给他回复了一个E-Mail，里面包含了我写反馈时的一些电脑信息，包含浏览器的UserAgent，IP地址，以及我电脑上的Skype版本号。问题来了，Skype的网页，是怎么抓取到我电脑上的Skype版本号的？我的Skype是便携版，直接到磁盘的%ProgramFiles%\Skype下是找不到Skype的，我能想到的，只可能是读取注册表，从注册表中保存的Skype程序位置，再读取Skype程序的版本号。所以，我就想问一下，在Firefox浏览器中，真的可以访问Windows的注册表吗？

另外，提醒一下大家，不要到淘宝网上买Skype的充值！否则，别人可以用他手上的消费记录取得你的Skype账号和密码。刚才同事从TOM-Skype的网上看到，Skype的充值，是可以转移到其他人账号上的。所以，我同事Skype账号上的钱，我可以100%肯定，已经被帮他充值的人转走了。他的Skype账号目前被锁定了，Skype公司要求他提供证据（充值流水号或者用来充值的信用卡账号）才能解锁，但是他没有这些证据。虽然钱不多（不到2欧元，当初是花12元人民币买的2欧元充值），但是教训还是深刻的。另外，他很少用Skype，所以换一个Skype账号对他没有影响。

Cye3s：Skype
我一般用这个,不用Tom的
http://portableapps.com/apps/internet/skype_portable回到原帖

平常不用TOM Skype聊天。现在讲的是打电话到固话或手机，需要充值。国内最正规的途径就是去TOM Skype充值。其中充值又分2种，国内卡和国际卡，国内卡稍微便宜一些，且没有接入费，但是必须要用TOM版的Skype才能打电话。国际卡的充值，可以用国际版的Skype，也可以用TOM版的Skype打电话，每次通话需要另外收取2分钟的接入费。同事昨晚通过TOM Skype买了5元的国内卡，试了一下，经常断线，我自己买的国际卡，从来不断线。

说是钓鱼网站，可能有点言过其实，不过网站肯定与Skype官方无关。它是不是通过私下转帐来给他人Skype账户充值的呢？本人没用过Skype，仅属猜测。

看过TOM Skype的网站说明，可以直接将自己账号里的钱转到他人账号。所以，私下转账的话，可以直接在TOM Skype网站进行，也不需要他人的密码。另外，正如我之前说的，这个网页有一个js文件，代码非常不规范，代码非常难读懂，其它3个js文件，都是非常规范的代码。所以，那个js文件是非常可疑的。再加上它监控用户的键盘按键事件，这就更加可疑了。虽然我不是100%肯定，但是95%以上的可能是钓鱼网站。

GOLF-AT：
这是网址：http://skypetool.com/tom/skype_card/pay.aspx （这是钓鱼网站，请不要用自己的真实账号去测试）回到原帖

说是钓鱼网站，可能有点言过其实，不过网站肯定与Skype官方无关。它是不是通过私下转帐来给他人Skype账户充值的呢？本人没用过Skype，仅属猜测。

Skype
我一般用这个,不用Tom的
http://portableapps.com/apps/internet/skype_portable

能否把網站發來看看，想研究研究

这是网址：http://skypetool.com/tom/skype_card/pay.aspx （这是钓鱼网站，请不要用自己的真实账号去测试）

GOLF-AT：关于同事昨晚又被骗的后续报道（当时没骗到钱）。今晚又和他说到这件事，同事还是不相信自己被骗了。我和他说了2点，要么Skype网站有漏洞（别人利用了漏洞），要么他被别人骗到一个虚假网站了。果然，他说别人给了他一个网页，让他去那个网页去充值。我跑去一看，果然不是Skype（包含TOM Skype）的网页，是一个钓鱼网站。这个网页顶部可以登录TOM邮箱和TOM网站的一些链接，中间是“充值”的地方，充值的地方有三个输入框，分别是输入充值密码（充值密码就是网上买来的），Skype账号，和重新输入Skype账号。我点击了顶部的几个链接，看上去都去了真正的TOM网页，比较正常。我又看了这个网页的源代码和js文件（一共4个），其中3个js看上去好像也比较正常，另一个js文件非常不正常，它采用了非常非常多的函数，函数之间频繁调用，代码连成一行，非常难看懂。研究这个js几十分钟，还是没有研究出来，但是我看到它会监控鼠标事件（mousedown、mouseup、mouseover）和按键事件（keydown）。虽然 js 没看懂，不过我就想，这个钓鱼网站究竟是怎么骗人的？首先想到的就是直接偷取用户的Skype用户名和密码，但是这个网页只有输入Skype用户名，没有输入Skype密码的地方，光知道Skype账号应该还是没用的，它应该还要偷用户的Skype密码才行啊，百思不得其解。本来还想提问js能否跨网页作用，但是据我自己掌握的知识，似乎不可能。那么这个钓鱼网站怎么钓鱼呢？后来，终于想到一个途径，通过顶部的TOM登录框，窃取用户的TOM邮箱号和密码，然后再用这个邮箱和Skype账户名去Skype网站，假装忘记Skype密码，让Skype发送一个链接到这个邮箱来重置密码，然后用偷来的密码去登录用户的TOM邮箱，去重置Skype密码，这样不就可以窃取用户Skype上的钱了？只有用户在Skype上留的e-mail，就是TOM邮箱的话，这个办法才可行。虽然不是100%有效，但还是可以逮到一些用户的。不过，我后来又想到第二个途径，就是那个“重新输入”Skype账号的地方。一般来说，输入账号的下面，就是输入密码。我想也会有一些马虎的人，不经意间在那个地方输入了Skype的密码，这样这个网站不就是直接窃取了Skype用户名和密码了。回到原帖

能否把網站發來看看，想研究研究

关于同事昨晚又被骗的后续报道（当时没骗到钱）。今晚又和他说到这件事，同事还是不相信自己被骗了。我和他说了2点，要么Skype网站有漏洞（别人利用了漏洞），要么他被别人骗到一个虚假网站了。果然，他说别人给了他一个网页，让他去那个网页去充值。我跑去一看，果然不是Skype（包含TOM Skype）的网页，是一个钓鱼网站。这个网页顶部可以登录TOM邮箱和TOM网站的一些链接，中间是“充值”的地方，充值的地方有三个输入框，分别是输入充值密码（充值密码就是网上买来的），Skype账号，和重新输入Skype账号。我点击了顶部的几个链接，看上去都去了真正的TOM网页，比较正常。我又看了这个网页的源代码和js文件（一共4个），其中3个js看上去好像也比较正常，另一个js文件非常不正常，它采用了非常非常多的函数，函数之间频繁调用，代码连成一行，非常难看懂。研究这个js几十分钟，还是没有研究出来，但是我看到它会监控鼠标事件（mousedown、mouseup、mouseover）和按键事件（keydown）。虽然 js 没看懂，不过我就想，这个钓鱼网站究竟是怎么骗人的？首先想到的就是直接偷取用户的Skype用户名和密码，但是这个网页只有输入Skype用户名，没有输入Skype密码的地方，光知道Skype账号应该还是没用的，它应该还要偷用户的Skype密码才行啊，百思不得其解。本来还想提问js能否跨网页作用，但是据我自己掌握的知识，似乎不可能。那么这个钓鱼网站怎么钓鱼呢？后来，终于想到一个途径，通过顶部的TOM登录框，窃取用户的TOM邮箱号和密码，然后再用这个邮箱和Skype账户名去Skype网站，假装忘记Skype密码，让Skype发送一个链接到这个邮箱来重置密码，然后用偷来的密码去登录用户的TOM邮箱，去重置Skype密码，这样不就可以窃取用户Skype上的钱了？只有用户在Skype上留的e-mail，就是TOM邮箱的话，这个办法才可行。虽然不是100%有效，但还是可以逮到一些用户的。不过，我后来又想到第二个途径，就是那个“重新输入”Skype账号的地方。一般来说，输入账号的下面，就是输入密码。我想也会有一些马虎的人，不经意间在那个地方输入了Skype的密码，这样这个网站不就是直接窃取了Skype用户名和密码了。

你说的MAC地址，我知道，但是网页可以抓取电脑的Mac地址吗？我自己就是写程序的，如果是一个独立的程序，我是不会开这个帖子提问的，但是我不写网页的程序，对网页能做哪些事情，不是很了解。其实我也不想搞的那么复杂，我只是好奇而已，想知道Skype到底是怎么做到的。

和网页无关，是双方的路由问题，我还是建议你直接问SKYPE，说不定是个后门

无尽的冬季：

MAC地址可以识别不同的电脑，否则内网里的人都乱套了

我建议你最好向火狐和SKYPE双方的官方问问，一切皆可能回到原帖

你说的MAC地址，我知道，但是网页可以抓取电脑的Mac地址吗？我自己就是写程序的，如果是一个独立的程序，我是不会开这个帖子提问的，但是我不写网页的程序，对网页能做哪些事情，不是很了解。其实我也不想搞的那么复杂，我只是好奇而已，想知道Skype到底是怎么做到的。

havanna：
再次，你不应该相信windows上所谓的绿色化，只要运行一次，注册表、system32等即刻会有变化，只要开发者愿意，那么通过钩子，以后即使不运行，也能进行某些私密通信回到原帖

这个我是知道的。我用所谓的绿色版，只是不希望安装版给我安装一大堆乱七八糟的东西。程序运行后写注册表，这个我是不在意的，如果硬不让程序写注册表，程序就不能正常运行了。至于你说的程序不运行也能做一些私密通信，我相信Skype是不会做的。

ithinc：你填写反馈表单的时候，Skype程序是否正打开呢？可能是通过某种程序间通信得到的吧。你把那个反馈链接贴出来，也许大家就能看出什么了呢。回到原帖

当时 Skype 是运行着的，网页地址：https://support.skype.com/support_request 左边列表选择 Account and Password，然后右边列表选择第3个选项“Blocked Accounts”。上面2个列表选择后，会出现很长内容，网页最下方是要提交的问题。

可笑的是，同事晚上又去淘宝换了一个人买Skype充值了。这次人家又跟他要账号和密码，他说自己充值，人家给他一个密码，充值时说是成功，但是始终不能到账。具体的充值过程我没看到，只是后来他告诉我的。后来别人让他申请退款了。试想一下，如果别人给他真正的充值密码，万一只是一时查不到，但是钱又真的到了他的Skype账号，卖的人又同意退款了，那不是卖Skype充值的人倒贴了？所以，我敢肯定，给他充值密码的人，是知道那个密码是不可能充值的，才会很爽快的同意退款。我怀疑，Skype可能有什么漏洞，被一些人利用了，或者人家见他没上当，就将他骗到一个假冒的网站去假装充值，不成功后再让他退款，这样他就无法去淘宝投诉了。我的那个同事，还是太贪小便宜了（充值2欧元只要12元RMB）。如果不是我之前告诉他这里面的骗术，估计今晚又要被人骗一次。虽然今晚没被人骗到钱，但是整个过程还是又让人给骗了。

首先回想下那天你帮你同事给skype客服email的那次开机中，skype有没有运行过？
其次firefox的content js无法访问本地文件的
再次，你不应该相信windows上所谓的绿色化，只要运行一次，注册表、system32等即刻会有变化，只要开发者愿意，那么通过钩子，以后即使不运行，也能进行某些私密通信

没有考察过skype的授权协议，不过个人猜测问题多出在skype上....

GOLF-AT：同一个IP，还有另外一个同事在用Skype。我估计应该不是用IP来判断的，至少不是单纯用IP来判断。另一个同事用的是WinXP，同事用的是邀游，我用的是Win7 和 Firefox。如果 Skype 登录的时候，同时将 Windows 的版本号也传给 Skype 服务器，那么在浏览器中，根据 UserAgent 判断 Windows，再加上 IP，倒是可以区分我和同事来的。但是如果一个公司有很多人的话，IP 都相同，也有人用 Firefox 的话，那不就是识别不了了。回到原帖

MAC地址可以识别不同的电脑，否则内网里的人都乱套了

我建议你最好向火狐和SKYPE双方的官方问问，一切皆可能

你填写反馈表单的时候，Skype程序是否正打开呢？可能是通过某种程序间通信得到的吧。你把那个反馈链接贴出来，也许大家就能看出什么了呢。