质疑TW3几个安全问题？ - 3.x版本使用交流 - 旧版使用交流 - 世界之窗论坛

Rank: 11

UID: 29455
帖子: 2072
精华: 0
贡献: 0
推广: 1
有效BUG: 0
注册时间: 2006-11-22

25^# 跳转到 »

发表于 2009-8-17 23:55 | 只看该作者

本帖最后由 tidehome 于 2009-8-18 00:04 编辑

host的确存在这个可能性
但这一想法的前提是下载导入工具的时候，是根据域名用到了hosts。
说这些都白搭，全部是建立在对这一机制的猜测上面的。在不了解实现的技术细节的时候，还是不做这样的猜测了。
hblf 发表于 2009-8-17 23:49 http://bbs.ioage.com/cn/images/common/back.gif

下载导入工具http://www.ioage.com/revision/template/cn/download/import.zip
这个网址

推荐皮肤 :随心炫2, 黑与光

412268499

内测用户

Rank: 12

UID: 71365
帖子: 10480
精华: 0
贡献: 8
推广: 1
有效BUG: 0
注册时间: 2007-10-3

体验用户6-10个有效BUG

26^#

发表于 2009-8-18 00:07 | 只看该作者

前面的回复我没怎么仔细看.只说下我的看法
1.这个我不清楚.
2.提示方面不止这里,其他方面也有不足,但是这个导入设置不是用户闲着没事去点的吧,不提示就下载我认为没有什么不当之处.用什么手段,是说服务器那边,还是客户端这边,或者是链接两者之间的?
3.楼主自己测试看看不就知道了?
4.我想得到的危险情况:1.金山的服务器数据库网址被host强制指向那些病毒木马网址;2.金山的服务器被入侵植入病毒木马.我觉得这两种可能性都不大,前面的回复没有仔细看,或许还有其他情况.如果这个也加个校验的话,至少我要出来让开发组给个选项让我关掉.

Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 TheWorld 6

Rank: 11

UID: 29455
帖子: 2072
精华: 0
贡献: 0
推广: 1
有效BUG: 0
注册时间: 2006-11-22

27^#

发表于 2009-8-18 08:18 | 只看该作者

1.这个我不清楚.
2.提示方面不止这里,其他方面也有不足,但是这个导入设置不是用户闲着没事去点的吧,不提示就下载我认为没有什么不当之处.用什么手段,是说服务器那边,还是客户端这边,或者是链接两者之间的?
4.我想得到的危险情况:1.金山的服务器数据库网址被host强制指向那些病毒木马网址;2.金山的服务器被入侵植入病毒木马.我觉得这两种可能性都不大,前面的回复没有仔细看,或许还有其他情况.如果这个也加个校验的话,至少我要出来让开发组给个选项让我关掉.412268499 发表于 2009-8-18 00:07 http://bbs.ioage.com/cn/images/common/back.gif

1,导入设置工具,我不单指不提示就下载,主要是下载后自动运行.
2,"加个校验的话,至少我要出来让开发组给个选项让我关掉"
这个完全没必要,就算有校验过程,你也感觉不到他的存在,不影响使用.

推荐皮肤 :随心炫2, 黑与光

412268499

内测用户

Rank: 12

UID: 71365
帖子: 10480
精华: 0
贡献: 8
推广: 1
有效BUG: 0
注册时间: 2007-10-3

体验用户6-10个有效BUG

28^#

发表于 2009-8-18 10:56 | 只看该作者

1.不运行你还点那里下载做什么,让用户再点一次?

Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 TheWorld 6

phoenix

管理员

Rank: 20

UID: 1
帖子: 5881
精华: 15
贡献: 112
推广: 0
有效BUG: 0
注册时间: 2005-2-20

29^#

发表于 2009-8-18 11:24 | 只看该作者

额～～你知道hosts吧？
如果hosts文件被病毒劫持：
www.ioage.com abc.bcd.efg

那么，客户端的所有请求www.ioage.com这个网址的都会被转向到abc.bcd.efg上。
tjmzq 发表于 2009-8-17 23:43 http://bbs.ioage.com/cn/images/common/back.gif

既然病毒都能改hosts文件了，还有啥不能做的，何必要改ioage.com的解析呢
同理如果DNS/ISP接入被劫持，也不需要对tw做什么，因为这时几乎可以做任何劫持了

收藏夹那个确实是个问题，需要改

Rank: 11

UID: 29455
帖子: 2072
精华: 0
贡献: 0
推广: 1
有效BUG: 0
注册时间: 2006-11-22

30^#

发表于 2009-8-18 12:07 | 只看该作者

既然病毒都能改hosts文件了，还有啥不能做的，何必要改ioage.com的解析呢
同理如果DNS/ISP接入被劫持，也不需要对tw做什么，因为这时几乎可以做任何劫持了
收藏夹那个确实是个问题，需要改
phoenix 发表于 2009-8-18 11:24 http://bbs.ioage.com/cn/images/common/back.gif

这个回复有点避开主题.

何必要改ioage.com的解析,这道理很简单,
因为安装TW3的用户,系统拦截和防火墙都对TW3开绿灯,安全通行,
TW3有多少用户,应该比我们清楚,影响多大.
还有网址转向,只是一个方法,还有非常多方法.

推荐皮肤 :随心炫2, 黑与光

Rank: 11

UID: 29455
帖子: 2072
精华: 0
贡献: 0
推广: 1
有效BUG: 0
注册时间: 2006-11-22

31^#

发表于 2009-8-18 12:15 | 只看该作者

1.不运行你还点那里下载做什么,让用户再点一次?
412268499 发表于 2009-8-18 10:56 http://bbs.ioage.com/cn/images/common/back.gif

就是这样.

所以才需要安全校验,确认是不被修改的

推荐皮肤 :随心炫2, 黑与光

chpiter

中级用户

Rank: 4

UID: 209659
帖子: 220
精华: 0
贡献: 0
推广: 0
有效BUG: 0
注册时间: 2009-6-20

32^#

发表于 2009-8-18 12:19 | 只看该作者

讨论浏览器的安全问题没什么意思
除非把浏览器杀毒软件防火墙集成到一起

hblf

版主

Rank: 16

UID: 37281
帖子: 8538
精华: 1
贡献: 34
推广: 1
有效BUG: 0
来自: 淇水之滨
注册时间: 2007-1-3

体验用户5个内有效BUG

33^#

发表于 2009-8-18 12:24 | 只看该作者

这个回复有点避开主题.

何必要改ioage.com的解析,这道理很简单,
因为安装TW3的用户,系统拦截和防火墙都对TW3开绿灯,安全通行,
TW3有多少用户,应该比我们清楚,影响多大.
还有网址转向,只是一个方法,还有非常 ...
tidehome 发表于 2009-8-18 12:07 http://bbs.ioage.com/cn/images/common/back.gif

个人以为你是不是没完全理解杯子的意思？
如果有病毒或者某手法可以修改hosts了，那他的权限已经是很高的了，没必要再针对tw做什么修改。

win7 旗舰版
IE8.0
KAV9.0.0.736
PCTools FW 6
---------------------
我们再也回不去了，对不对
俺的自留地，就是有点枯燥：lewisec.sinaapp.com