[经验交流] 质疑TW3几个安全问题？

Rank: 11

UID: 29455
帖子: 2072
精华: 0
贡献: 0
推广: 1
有效BUG: 0
注册时间: 2006-11-22

2^#

发表于 2009-8-17 22:48 | 显示全部帖子

#bclst
你答的,是我问的吗?
你知道Import.exe是做什么的吗?

推荐皮肤 :随心炫2, 黑与光

Rank: 11

UID: 29455
帖子: 2072
精华: 0
贡献: 0
推广: 1
有效BUG: 0
注册时间: 2006-11-22

3^#

发表于 2009-8-17 23:05 | 显示全部帖子

关于第二点，楼主是指的MITM么？个人以为在现在的tw对Import.exe的传输方式上，若是担心MITM的话，那么普通的文件传输恐怕都要有这个担心了。
关于第四点，楼主指的什么样的安全校验？不明白。
hblf 发表于 2009-8-17 23:01 http://bbs.ioage.com/cn/images/common/back.gif

Import.exe 是TW3导入2.X设置用的 ,目录上没有会自动远程下载,并运行.
这点是大问题.

安全校验,指确认官方数据不被修改

推荐皮肤 :随心炫2, 黑与光

Rank: 11

UID: 29455
帖子: 2072
精华: 0
贡献: 0
推广: 1
有效BUG: 0
注册时间: 2006-11-22

4^#

发表于 2009-8-17 23:16 | 显示全部帖子

莫非你也觉得我不知道Import.exe 是干啥使的？
这点我觉得不是问题，我说了，如果觉得这样的动作会有危害会被MITM攻击的话，那么普通的通过浏览器的任何文件传输都有这“安全隐患”。所以我觉得这里没问题。 ...
hblf 发表于 2009-8-17 23:09 http://bbs.ioage.com/cn/images/common/back.gif

"普通的通过浏览器的任何文件传输",他不会自动运行啊,
但Import.exe 不同,下载成功后,会自动运行.
如果Import.exe 被黑客改成恶意软件,后果就不一样了.
必须要有安全校验

推荐皮肤 :随心炫2, 黑与光

Rank: 11

UID: 29455
帖子: 2072
精华: 0
贡献: 0
推广: 1
有效BUG: 0
注册时间: 2006-11-22

5^#

发表于 2009-8-17 23:22 | 显示全部帖子

网马在你浏览页面时候下载下来以后也没给你说他自动运行了。
关键点不在于是否自动运行，而在于通信信道是否被篡改或拦截。
只要信道是安全的，那么文件就是安全的。
hblf 发表于 2009-8-17 23:18 http://bbs.ioage.com/cn/images/common/back.gif

所以我才问,TW3有做什么安全手段吗,如我说的安全校验,或其他手段

推荐皮肤 :随心炫2, 黑与光

Rank: 11

UID: 29455
帖子: 2072
精华: 0
贡献: 0
推广: 1
有效BUG: 0
注册时间: 2006-11-22

6^#

发表于 2009-8-17 23:31 | 显示全部帖子

貌似没有校验机制呢还，希望改进吧。

是啊，假如网站被挂马、假如电脑网址被转向，都会造成楼主所说的安全问题。

这个东西不去管他链路是否安全，只要最后能加个比如md5的校验就行。
tjmzq 发表于 2009-8-17 23:27 http://bbs.ioage.com/cn/images/common/back.gif

网址被转向,这个重点,我怎么忘写上了

推荐皮肤 :随心炫2, 黑与光

Rank: 11

UID: 29455
帖子: 2072
精华: 0
贡献: 0
推广: 1
有效BUG: 0
注册时间: 2006-11-22

7^#

发表于 2009-8-17 23:43 | 显示全部帖子

那好吧，我们来假设真的如你所说，http协议访问，那么，tw客户端正常发起请求，中间经过ISP的正常服务，服务器端提供正常的返回，在哪里做转向？ISP那里？能在那儿做手脚了还会对一个小小的tw下手？他吃饱了撑的啊。 ...
hblf 发表于 2009-8-17 23:39 http://bbs.ioage.com/cn/images/common/back.gif

凡事都得防万一

PS:猜想怎么多没用,搞不好开发组早就加入MD5安全校验了
等开发组来回答吧

推荐皮肤 :随心炫2, 黑与光

Rank: 11

UID: 29455
帖子: 2072
精华: 0
贡献: 0
推广: 1
有效BUG: 0
注册时间: 2006-11-22

8^#

发表于 2009-8-17 23:55 | 显示全部帖子

本帖最后由 tidehome 于 2009-8-18 00:04 编辑

host的确存在这个可能性
但这一想法的前提是下载导入工具的时候，是根据域名用到了hosts。
说这些都白搭，全部是建立在对这一机制的猜测上面的。在不了解实现的技术细节的时候，还是不做这样的猜测了。
hblf 发表于 2009-8-17 23:49 http://bbs.ioage.com/cn/images/common/back.gif

下载导入工具http://www.ioage.com/revision/template/cn/download/import.zip
这个网址

推荐皮肤 :随心炫2, 黑与光

Rank: 11

UID: 29455
帖子: 2072
精华: 0
贡献: 0
推广: 1
有效BUG: 0
注册时间: 2006-11-22

9^#

发表于 2009-8-18 08:18 | 显示全部帖子

1.这个我不清楚.
2.提示方面不止这里,其他方面也有不足,但是这个导入设置不是用户闲着没事去点的吧,不提示就下载我认为没有什么不当之处.用什么手段,是说服务器那边,还是客户端这边,或者是链接两者之间的?
4.我想得到的危险情况:1.金山的服务器数据库网址被host强制指向那些病毒木马网址;2.金山的服务器被入侵植入病毒木马.我觉得这两种可能性都不大,前面的回复没有仔细看,或许还有其他情况.如果这个也加个校验的话,至少我要出来让开发组给个选项让我关掉.412268499 发表于 2009-8-18 00:07 http://bbs.ioage.com/cn/images/common/back.gif

1,导入设置工具,我不单指不提示就下载,主要是下载后自动运行.
2,"加个校验的话,至少我要出来让开发组给个选项让我关掉"
这个完全没必要,就算有校验过程,你也感觉不到他的存在,不影响使用.

推荐皮肤 :随心炫2, 黑与光

Rank: 11

UID: 29455
帖子: 2072
精华: 0
贡献: 0
推广: 1
有效BUG: 0
注册时间: 2006-11-22

10^#

发表于 2009-8-18 12:07 | 显示全部帖子

既然病毒都能改hosts文件了，还有啥不能做的，何必要改ioage.com的解析呢
同理如果DNS/ISP接入被劫持，也不需要对tw做什么，因为这时几乎可以做任何劫持了
收藏夹那个确实是个问题，需要改
phoenix 发表于 2009-8-18 11:24 http://bbs.ioage.com/cn/images/common/back.gif

这个回复有点避开主题.

何必要改ioage.com的解析,这道理很简单,
因为安装TW3的用户,系统拦截和防火墙都对TW3开绿灯,安全通行,
TW3有多少用户,应该比我们清楚,影响多大.
还有网址转向,只是一个方法,还有非常多方法.

推荐皮肤 :随心炫2, 黑与光