 |
|
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已! |
|
|
恭喜您是本站第 1672769
位訪客!
登入 | 註冊
|
|
|
|
| 發表者 |
討論內容 |
冷日
(冷日) |
發表時間:2005/3/17 3:22 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [分享]Firefox 用戶看過來
- Firefox 用戶看過來
Firefox 網路瀏覽器比 Microsoft Internet Explorer 還安全嗎?答案或許沒錯,但它的問題比多數人所了解的更複雜。事實上,Firefox 也有自己的安全性問題。
Mozilla Organization 在二月底發行 Firefox 第一個更新版 1.0.1 (www.getfirefox.com)。新版本雖然沒有重要的新功能,但修復了 1.0 版已記錄的 17 項弱點 (www.mozilla.org/projects/security/known-vulnerabilities.html),其中最為人所知的弱點就是與國際網域名稱 URL 有關的假造 URL 程式錯誤 (IDN - www.mozilla.org/security/announce/mfsa2005-29.html)。
基本上,駭客可以設定與其他網站 URL 相同的網站,但該網域名稱其實是用國際字元集而不是英文。(Mozilla 並未解決這個問題,1.0.1 版只是依預設值關閉 IDN 支援。)
使用者在更新發佈前不知道任何程式錯誤,因為 Mozilla Organization 最近才開始提出類似 Microsoft 每月公佈的安全性建議 (請參考 www.mozilla.org/security/announce)。大多數情況下,Mozilla 在提出建議前沒有隱瞞也沒有公開這些程式錯誤。
跟 Microsoft 不同的是,Mozilla 解決程式錯誤後並不會發行修補程式。如果使用者堅持使用有發行流程的程式,唯一的選擇就是等待下一次改版;從 1.0 版升級到 1.0.1 版大約花了 3.5 個月。使用者可以安裝該程式的過渡建造版 (每夜建造版可在以下網站取得:ftp.mozilla. org/pub/mozilla.org/firefox/nightly/latest-trunk/),但這些都不是正式發行版,而且應該會出現其他程式錯誤。
根據一位 Firefox 開發人員表示 (weblogs.mozillazine.org/asa/archives/007609.html),Tools| Options | -Advanced-|Software Update 內更新通知功能的基礎架構甚至還不能使用。
1.0.1 版已經存在安全性問題,而且尚未對此提出建議。比方說,在多使用者機器上,像是 Linux 系統,如果某個使用者以 root 執行啟動 Firefox,而另一個非 root 使用者啟動 Firefox,則非 root 使用者的 Firerfox 實例會取得 root 權限 (bugzilla.mozilla.org/show_ bug.cgi?id=247412)。
此外,使用者在安裝階段要檢查已簽名副檔名的證明並不容易也不明顯 (bugzilla.mozilla.org/show_bug.cgi?id=278629),因此欺騙器等於有不設防時段可以偽裝成信任的原始碼。另外還有一些當機程式錯誤,例如 bugzilla.mozilla.org/show_ bug.cgi?id=263609,而這些程式錯誤通常代表幕後的安全漏洞。
最後,反間牒軟體公司 Webroot 和 Sunbelt Software 表示,他們預料針對 Firefox 的間諜軟體今年會開始出現。因此,不要忘記去更新,也不要滿足於 Firefox 已有的成就。使用者遇到的問題不同,而不是沒有安全性問題。
|
|
|
|
