莫非你也觉得我不知道Import.exe 是干啥使的?
这点我觉得不是问题,我说了,如果觉得这样的动作会有危害会被MITM攻击的话,那么普通的通过浏览器的任何文件传输都有这“安全隐患”。所以我觉得这里没问题。 ...
hblf 发表于 2009-8-17 23:09 http://bbs.ioage.com/cn/images/common/back.gif
| 质疑TW3几个安全问题? 1 ,TW3启动时远程加载的扩展ExtPages.dll 有没有进行MD5安全校验,或其他安全手段。 2 ,TW3远程下载Import.exe的时候 为什么不给出任何提示? 用什么手段保证不被黑客或其他人利用,确保用户安全??? 3 ,网上收藏,不用密码的,导入他人帐号的全部网上收藏的问题决解了吗? http://bbs.ioage.com/cn/thread-93061-1-2.html 4 ,金山网址安全 更新数据,有没有经过安全校验。 |
关于第二点,楼主是指的MITM么?个人以为在现在的tw对Import.exe的传输方式上,若是担心MITM的话,那么普通的文件传输恐怕都要有这个担心了。
关于第四点,楼主指的什么样的安全校验?不明白。
hblf 发表于 2009-8-17 23:01 http://bbs.ioage.com/cn/images/common/back.gif
Import.exe 是TW3导入2.X设置用的 ,目录上没有会自动远程下载,并运行.
这点是大问题.
安全校验,指确认官方数据不被修改
tidehome 发表于 2009-8-17 23:05 http://bbs.ioage.com/cn/images/common/back.gif
莫非你也觉得我不知道Import.exe 是干啥使的?
这点我觉得不是问题,我说了,如果觉得这样的动作会有危害会被MITM攻击的话,那么普通的通过浏览器的任何文件传输都有这“安全隐患”。所以我觉得这里没问题。 ...
hblf 发表于 2009-8-17 23:09 http://bbs.ioage.com/cn/images/common/back.gif
"普通的通过浏览器的任何文件传输",他不会自动运行啊,
但Import.exe 不同,下载成功后,会自动运行.
如果Import.exe 被黑客改成恶意软件,后果就不一样了.
必须要有安全校验
tidehome 发表于 2009-8-17 23:16 http://bbs.ioage.com/cn/images/common/back.gif
网马在你浏览页面时候下载下来以后也没给你说他自动运行了。
关键点不在于是否自动运行,而在于通信信道是否被篡改或拦截。
只要信道是安全的,那么文件就是安全的。
hblf 发表于 2009-8-17 23:18 http://bbs.ioage.com/cn/images/common/back.gif
貌似没有校验机制呢还,希望改进吧。
是啊,假如网站被挂马、假如电脑网址被转向,都会造成楼主所说的安全问题。
这个东西不去管他链路是否安全,只要最后能加个比如md5的校验就行。
tjmzq 发表于 2009-8-17 23:27 http://bbs.ioage.com/cn/images/common/back.gif
那好吧,我们来假设真的如你所说,http协议访问,那么,tw客户端正常发起请求,中间经过ISP的正常服务,服务器端提供正常的返回,在哪里做转向?ISP那里?能在那儿做手脚了还会对一个小小的tw下手?他吃饱了撑的啊。 ...
hblf 发表于 2009-8-17 23:39 http://bbs.ioage.com/cn/images/common/back.gif
host的确存在这个可能性
但这一想法的前提是下载导入工具的时候,是根据域名用到了hosts。
说这些都白搭,全部是建立在对这一机制的猜测上面的。在不了解实现的技术细节的时候,还是不做这样的猜测了。
hblf 发表于 2009-8-17 23:49 http://bbs.ioage.com/cn/images/common/back.gif
1.这个我不清楚.
2.提示方面不止这里,其他方面也有不足,但是这个导入设置不是用户闲着没事去点的吧,不提示就下载我认为没有什么不当之处.用什么手段,是说服务器那边,还是客户端这边,或者是链接两者之间的?
4.我想得到的危险情况:1.金山的服务器数据库网址被host强制指向那些病毒木马网址;2.金山的服务器被入侵植入病毒木马.我觉得这两种可能性都不大,前面的回复没有仔细看,或许还有其他情况.如果这个也加个校验的话,至少我要出来让开发组给个选项让我关掉.412268499 发表于 2009-8-18 00:07 http://bbs.ioage.com/cn/images/common/back.gif
额~~ 你知道hosts吧?
如果hosts文件被病毒劫持:
www.ioage.com abc.bcd.efg
那么,客户端的所有请求www.ioage.com这个网址的都会被转向到abc.bcd.efg上。
tjmzq 发表于 2009-8-17 23:43 http://bbs.ioage.com/cn/images/common/back.gif
既然病毒都能改hosts文件了,还有啥不能做的,何必要改ioage.com的解析呢
同理如果DNS/ISP接入被劫持,也不需要对tw做什么,因为这时几乎可以做任何劫持了
收藏夹那个确实是个问题,需要改
phoenix 发表于 2009-8-18 11:24 http://bbs.ioage.com/cn/images/common/back.gif
1.不运行你还点那里下载做什么,让用户再点一次?
412268499 发表于 2009-8-18 10:56 http://bbs.ioage.com/cn/images/common/back.gif
这个回复有点避开主题.
何必要改ioage.com的解析,这道理很简单,
因为安装TW3的用户,系统拦截和防火墙都对TW3开绿灯,安全通行,
TW3有多少用户,应该比我们清楚,影响多大.
还有网址转向,只是一个方法,还有非常 ...
tidehome 发表于 2009-8-18 12:07 http://bbs.ioage.com/cn/images/common/back.gif
个人以为你是不是没完全理解杯子的意思?
如果有病毒或者某手法可以修改hosts了,那他的权限已经是很高的了,没必要再针对tw做什么修改。
hblf 发表于 2009-8-18 12:24 http://bbs.ioage.com/cn/images/common/back.gif
Mx3的增量升级好像是会对相关文件进行MD5校验的
Continued 发表于 2009-8-18 12:31 http://bbs.ioage.com/cn/images/common/back.gif
嘿嘿,木马?病毒?你认为木马很好做,能很好改TW?那么你来改改看。
我看楼主被病毒和木马吓怕了吧!
h847670898 发表于 2009-8-18 12:41 http://bbs.ioage.com/cn/images/common/back.gif
显然讨论的几位没搞懂“权限”在攻击过程中的重要性。
hblf 发表于 2009-8-18 12:51 http://bbs.ioage.com/cn/images/common/back.gif
嘿嘿,木马?病毒?你认为木马很好做,能很好改TW?那么你来改改看。
我看楼主被病毒和木马吓怕了吧!
h847670898 发表于 2009-8-18 12:41 http://bbs.ioage.com/cn/images/common/back.gif
"网站被黑这种情况,所有的软件问题都是一样的"
如果有安全校验,网站被黑也就不怕了.
最少也多了份安全
tidehome 发表于 2009-8-18 13:45 http://bbs.ioage.com/cn/images/common/back.gif
你是不是没看清楚.既然都被黑了,那入侵者要改安全校验的部分也不是什么问题吧,这个还有意义?
412268499 发表于 2009-8-18 17:26 http://bbs.ioage.com/cn/images/common/back.gif
| 欢迎光临 世界之窗论坛 (http://bbs.theworld.cn/) | Powered by Discuz! 7.2 |