Board logo

标题: [经验交流] 质疑TW3几个安全问题? [打印本页]

作者: tidehome    时间: 2009-8-17 22:34     标题: 质疑TW3几个安全问题?

质疑TW3几个安全问题?
1 ,TW3启动时远程加载的扩展ExtPages.dll
    有没有进行MD5安全校验,或其他安全手段。
2 ,TW3远程下载Import.exe的时候 为什么不给出任何提示?
    用什么手段保证不被黑客或其他人利用,确保用户安全???
3 ,网上收藏,不用密码的,导入他人帐号的全部网上收藏的问题决解了吗?
    http://bbs.ioage.com/cn/thread-93061-1-2.html
4 ,金山网址安全 更新数据,有没有经过安全校验。
作者: bclst    时间: 2009-8-17 22:39

质疑TW3几个安全问题?
1 ,TW3启动时远程加载的扩展ExtPages.dll
    有没有进行MD5安全校验,或其他安全手段。
2 ,TW3远程下载Import.exe的时候 为什么不给出任何提示?
    用什么手段保证不被黑客或其他人利用,确保用户安全???
3 ,网上收藏,不用密码的,导入他人帐号的全部网上收藏的问题决解了吗?
    http://bbs.ioage.com/cn/thread-93061-1-2.html
4 ,金山网址安全 更新数据,有没有经过安全校验。
1.tw3用户数量虽然多但不是很多,打dll注意的人,有但是不笨。
2.浏览起防毒,资源浪费。
3.这个没用过,没有发言权。
4.看见金山杀毒的感觉好像比瑞星杀毒的感觉好那么一点。
1# tidehome
作者: tidehome    时间: 2009-8-17 22:48

#bclst
你答的,是我问的吗?
你知道Import.exe是做什么的吗?
作者: hblf    时间: 2009-8-17 23:01

关于第二点,楼主是指的MITM么?个人以为在现在的tw对Import.exe的传输方式上,若是担心MITM的话,那么普通的文件传输恐怕都要有这个担心了。
关于第四点,楼主指的什么样的安全校验?不明白。
作者: tidehome    时间: 2009-8-17 23:05

关于第二点,楼主是指的MITM么?个人以为在现在的tw对Import.exe的传输方式上,若是担心MITM的话,那么普通的文件传输恐怕都要有这个担心了。
关于第四点,楼主指的什么样的安全校验?不明白。
hblf 发表于 2009-8-17 23:01 http://bbs.ioage.com/cn/images/common/back.gif


Import.exe 是TW3导入2.X设置用的 ,目录上没有会自动远程下载,并运行.
这点是大问题.

安全校验,指确认官方数据不被修改
作者: bclst    时间: 2009-8-17 23:05

不知道呀,你又没说清楚,我怎么知道呀,我老用tw下许多东西,从来没考虑过你说的事情。 3# tidehome
作者: jym2005    时间: 2009-8-17 23:06

提示: 作者被禁止或删除 内容自动屏蔽
作者: jym2005    时间: 2009-8-17 23:07

提示: 作者被禁止或删除 内容自动屏蔽
作者: hblf    时间: 2009-8-17 23:09

Import.exe 是TW3导入2.X设置用的 ,目录上没有会自动远程下载,并运行.
这点是大问题.

安全校验,指确认官方数据不被修改
tidehome 发表于 2009-8-17 23:05 http://bbs.ioage.com/cn/images/common/back.gif

莫非你也觉得我不知道Import.exe 是干啥使的?
这点我觉得不是问题,我说了,如果觉得这样的动作会有危害会被MITM攻击的话,那么普通的通过浏览器的任何文件传输都有这“安全隐患”。所以我觉得这里没问题。
至于金山的数据,我的猜想是直接从金山那边获取的数据,类似于杀毒软件的病毒库更新。
作者: 期待世界之窗三    时间: 2009-8-17 23:14

老觉得lz是女的...请正面回答我!
作者: bclst    时间: 2009-8-17 23:14

一个是说不是源文件的,一个怪人家后台下载程序,一个乖浏览器不会杀毒,一个不知道是说金山有问题的还是说md5的事的。说实话我也真不懂这些的。 9# hblf
作者: tidehome    时间: 2009-8-17 23:16

莫非你也觉得我不知道Import.exe 是干啥使的?
这点我觉得不是问题,我说了,如果觉得这样的动作会有危害会被MITM攻击的话,那么普通的通过浏览器的任何文件传输都有这“安全隐患”。所以我觉得这里没问题。 ...
hblf 发表于 2009-8-17 23:09 http://bbs.ioage.com/cn/images/common/back.gif


"普通的通过浏览器的任何文件传输",他不会自动运行啊,
但Import.exe 不同,下载成功后,会自动运行.
如果Import.exe 被黑客改成恶意软件,后果就不一样了.
必须要有安全校验
作者: hblf    时间: 2009-8-17 23:18

"普通的通过浏览器的任何文件传输",他不会自动运行啊,
但Import.exe 不同,下载成功后,会自动运行.
如果Import.exe 被黑客改成恶意软件,后果就不一样了.
必须要有安全校验
tidehome 发表于 2009-8-17 23:16 http://bbs.ioage.com/cn/images/common/back.gif

网马在你浏览页面时候下载下来以后也没给你说他自动运行了。
关键点不在于是否自动运行,而在于通信信道是否被篡改或拦截。
只要信道是安全的,那么文件就是安全的。
作者: bclst    时间: 2009-8-17 23:18

你吧tw的用户数量想得太多了吧。 12# tidehome
作者: tidehome    时间: 2009-8-17 23:22

网马在你浏览页面时候下载下来以后也没给你说他自动运行了。
关键点不在于是否自动运行,而在于通信信道是否被篡改或拦截。
只要信道是安全的,那么文件就是安全的。
hblf 发表于 2009-8-17 23:18 http://bbs.ioage.com/cn/images/common/back.gif


所以我才问,TW3有做什么安全手段吗,如我说的安全校验,或其他手段
作者: bclst    时间: 2009-8-17 23:29

我知道有个杀毒软件,毒软偶尔进来,但从来不可能被激活,或者是自动运行的。 13# hblf
作者: hblf    时间: 2009-8-17 23:31

自己仔细想了下,关于这个东西,若是想攻击的话,有三个地方可以考虑
第一  服务器
第二  信道
第三  tw客户端
可以在服务器端把正常的导入工具替换成马。这个的实施难度太大,没实际意义。
可以实施中间人攻击,在信道上将文件篡改。这个已经说了,几乎不可能。
可以反汇编tw客户端后,将下载的指定服务器修改为攻击者自己的服务器,这样就可以下载任意的东西了。
唯有最后一条,似乎存在安全隐患。但是仔细想想,这里也几乎没有可乘之机的。如果自己的tw是从正规途径获取的,有证书,有md5,程序是否被修改过一目了然。若是本机本来正常的tw被某种途径修改了,这种事的发生就类似于正常的系统文件被木马感染了一样,已经不能说是正常文件本身的责任了。
以上内容均为自己作为普通使用者的猜测,毕竟这里的实现细节不清楚,纯黑盒,猜测可能会有误。
作者: tidehome    时间: 2009-8-17 23:31

貌似没有校验机制呢还,希望改进吧。

是啊,假如网站被挂马、假如电脑网址被转向,都会造成楼主所说的安全问题。

这个东西不去管他链路是否安全,只要最后能加个比如md5的校验就行。
tjmzq 发表于 2009-8-17 23:27 http://bbs.ioage.com/cn/images/common/back.gif


网址被转向,这个重点,我怎么忘写上了
作者: hblf    时间: 2009-8-17 23:32

tw在下载和运行导入工具的时候有打开过任何网站或者网址么?
拜托想明白了再说吧……
作者: hblf    时间: 2009-8-17 23:39

那好吧,我们来假设真的如你所说,http协议访问,那么,tw客户端正常发起请求,中间经过ISP的正常服务,服务器端提供正常的返回,在哪里做转向?ISP那里?能在那儿做手脚了还会对一个小小的tw下手?他吃饱了撑的啊。
还是我说的,担心这样的中间人攻击,个人觉得意义不大。
作者: tidehome    时间: 2009-8-17 23:43

那好吧,我们来假设真的如你所说,http协议访问,那么,tw客户端正常发起请求,中间经过ISP的正常服务,服务器端提供正常的返回,在哪里做转向?ISP那里?能在那儿做手脚了还会对一个小小的tw下手?他吃饱了撑的啊。 ...
hblf 发表于 2009-8-17 23:39 http://bbs.ioage.com/cn/images/common/back.gif


凡事都得防万一


PS:猜想怎么多没用,搞不好 开发组早就加入MD5安全校验了
     等开发组来回答吧
作者: jym2005    时间: 2009-8-17 23:45

提示: 作者被禁止或删除 内容自动屏蔽
作者: hblf    时间: 2009-8-17 23:49

host的确存在这个可能性
但这一想法的前提是下载导入工具的时候,是根据域名用到了hosts。
说这些都白搭,全部是建立在对这一机制的猜测上面的。在不了解实现的技术细节的时候,还是不做这样的猜测了。
作者: jym2005    时间: 2009-8-17 23:51

提示: 作者被禁止或删除 内容自动屏蔽
作者: tidehome    时间: 2009-8-17 23:55

本帖最后由 tidehome 于 2009-8-18 00:04 编辑
host的确存在这个可能性
但这一想法的前提是下载导入工具的时候,是根据域名用到了hosts。
说这些都白搭,全部是建立在对这一机制的猜测上面的。在不了解实现的技术细节的时候,还是不做这样的猜测了。
hblf 发表于 2009-8-17 23:49 http://bbs.ioage.com/cn/images/common/back.gif

下载导入工具http://www.ioage.com/revision/template/cn/download/import.zip
这个网址
作者: 412268499    时间: 2009-8-18 00:07

前面的回复我没怎么仔细看.只说下我的看法
1.这个我不清楚.
2.提示方面不止这里,其他方面也有不足,但是这个导入设置不是用户闲着没事去点的吧,不提示就下载我认为没有什么不当之处.用什么手段,是说服务器那边,还是客户端这边,或者是链接两者之间的?
3.楼主自己测试看看不就知道了?
4.我想得到的危险情况:1.金山的服务器数据库网址被host强制指向那些病毒木马网址;2.金山的服务器被入侵植入病毒木马.我觉得这两种可能性都不大,前面的回复没有仔细看,或许还有其他情况.如果这个也加个校验的话,至少我要出来让开发组给个选项让我关掉.
作者: tidehome    时间: 2009-8-18 08:18

1.这个我不清楚.
2.提示方面不止这里,其他方面也有不足,但是这个导入设置不是用户闲着没事去点的吧,不提示就下载我认为没有什么不当之处.用什么手段,是说服务器那边,还是客户端这边,或者是链接两者之间的?
4.我想得到的危险情况:1.金山的服务器数据库网址被host强制指向那些病毒木马网址;2.金山的服务器被入侵植入病毒木马.我觉得这两种可能性都不大,前面的回复没有仔细看,或许还有其他情况.如果这个也加个校验的话,至少我要出来让开发组给个选项让我关掉.412268499 发表于 2009-8-18 00:07 http://bbs.ioage.com/cn/images/common/back.gif


1,导入设置工具,我不单指不提示就下载,主要是下载后自动运行.
2,"加个校验的话,至少我要出来让开发组给个选项让我关掉"
  这个完全没必要,就算有校验过程,你也感觉不到他的存在,不影响使用.
作者: 412268499    时间: 2009-8-18 10:56

1.不运行你还点那里下载做什么,让用户再点一次?
作者: phoenix    时间: 2009-8-18 11:24

额~~ 你知道hosts吧?
如果hosts文件被病毒劫持:
www.ioage.com abc.bcd.efg

那么,客户端的所有请求www.ioage.com这个网址的都会被转向到abc.bcd.efg上。
tjmzq 发表于 2009-8-17 23:43 http://bbs.ioage.com/cn/images/common/back.gif


既然病毒都能改hosts文件了,还有啥不能做的,何必要改ioage.com的解析呢
同理如果DNS/ISP接入被劫持,也不需要对tw做什么,因为这时几乎可以做任何劫持了

收藏夹那个确实是个问题,需要改
作者: tidehome    时间: 2009-8-18 12:07

既然病毒都能改hosts文件了,还有啥不能做的,何必要改ioage.com的解析呢
同理如果DNS/ISP接入被劫持,也不需要对tw做什么,因为这时几乎可以做任何劫持了
收藏夹那个确实是个问题,需要改
phoenix 发表于 2009-8-18 11:24 http://bbs.ioage.com/cn/images/common/back.gif


这个回复有点避开主题.

何必要改ioage.com的解析,这道理很简单,
因为安装TW3的用户,系统拦截和防火墙都对TW3开绿灯,安全通行,
TW3有多少用户,应该比我们清楚,影响多大.
还有网址转向,只是一个方法,还有非常多方法.
作者: tidehome    时间: 2009-8-18 12:15

1.不运行你还点那里下载做什么,让用户再点一次?
412268499 发表于 2009-8-18 10:56 http://bbs.ioage.com/cn/images/common/back.gif


就是这样.

所以才需要安全校验,确认是不被修改的
作者: chpiter    时间: 2009-8-18 12:19

讨论浏览器的安全问题没什么意思
除非把浏览器 杀毒软件 防火墙集成到一起
作者: hblf    时间: 2009-8-18 12:24

这个回复有点避开主题.

何必要改ioage.com的解析,这道理很简单,
因为安装TW3的用户,系统拦截和防火墙都对TW3开绿灯,安全通行,
TW3有多少用户,应该比我们清楚,影响多大.
还有网址转向,只是一个方法,还有非常 ...
tidehome 发表于 2009-8-18 12:07 http://bbs.ioage.com/cn/images/common/back.gif

个人以为你是不是没完全理解杯子的意思?
如果有病毒或者某手法可以修改hosts了,那他的权限已经是很高的了,没必要再针对tw做什么修改。
作者: Continued    时间: 2009-8-18 12:31

Mx3的增量升级好像是会对相关文件进行MD5校验的
作者: tidehome    时间: 2009-8-18 12:34

本帖最后由 tidehome 于 2009-8-18 12:37 编辑
个人以为你是不是没完全理解杯子的意思?
如果有病毒或者某手法可以修改hosts了,那他的权限已经是很高的了,没必要再针对tw做什么修改。
hblf 发表于 2009-8-18 12:24 http://bbs.ioage.com/cn/images/common/back.gif


病毒权限再高,也是收集用户有用信息才有意义,
TW是日常浏览器,对他下手最好,收集用户有用信息了.


至于用什么方法手段,我不是黑客说不来
作者: tidehome    时间: 2009-8-18 12:39

Mx3的增量升级好像是会对相关文件进行MD5校验的
Continued 发表于 2009-8-18 12:31 http://bbs.ioage.com/cn/images/common/back.gif


这是对用户负责的做法,赞!
作者: h847670898    时间: 2009-8-18 12:41

嘿嘿,木马?病毒?你认为木马很好做,能很好改TW?那么你来改改看。
我看楼主被病毒和木马吓怕了吧!
作者: tidehome    时间: 2009-8-18 12:43

嘿嘿,木马?病毒?你认为木马很好做,能很好改TW?那么你来改改看。
我看楼主被病毒和木马吓怕了吧!
h847670898 发表于 2009-8-18 12:41 http://bbs.ioage.com/cn/images/common/back.gif


改TW,太容易了.
TW的每个扩展我都能改成恶意的,你信不?
作者: hblf    时间: 2009-8-18 12:51

显然讨论的几位没搞懂“权限”在攻击过程中的重要性。
作者: tidehome    时间: 2009-8-18 12:55

显然讨论的几位没搞懂“权限”在攻击过程中的重要性。
hblf 发表于 2009-8-18 12:51 http://bbs.ioage.com/cn/images/common/back.gif


“权限”,就算我全台电脑被你控制了,你不知道我谁,对普通用户有什么用,有什么利益?

收集用户有用信息才是最重要的.

"黑"日常浏览器是最好的手段
作者: jym2005    时间: 2009-8-18 13:00

提示: 作者被禁止或删除 内容自动屏蔽
作者: phoenix    时间: 2009-8-18 13:36

补充一下,tw没有远程加载extpage
当没有选项扩展的时候,只是访问了ioage服务器上的页面,对于页面调用的脚本接口,tw一直都是有安全性检查的

我觉得大家对安全性的理解不同,网站被黑这种情况,所有的软件问题都是一样的,如果被黑了,连安装程序、自动升级检查等都可以被修改
作者: tidehome    时间: 2009-8-18 13:45

"网站被黑这种情况,所有的软件问题都是一样的"

如果有安全校验,网站被黑也就不怕了.
最少也多了份安全
作者: AY    时间: 2009-8-18 16:23

嘿嘿,木马?病毒?你认为木马很好做,能很好改TW?那么你来改改看。
我看楼主被病毒和木马吓怕了吧!
h847670898 发表于 2009-8-18 12:41 http://bbs.ioage.com/cn/images/common/back.gif

我不会做,但不怀疑有人能做。有没有人会做则别论。
作者: 412268499    时间: 2009-8-18 17:26

"网站被黑这种情况,所有的软件问题都是一样的"

如果有安全校验,网站被黑也就不怕了.
最少也多了份安全
tidehome 发表于 2009-8-18 13:45 http://bbs.ioage.com/cn/images/common/back.gif

你是不是没看清楚.既然都被黑了,那入侵者要改安全校验的部分也不是什么问题吧,这个还有意义?
作者: tidehome    时间: 2009-8-18 17:30

本帖最后由 tidehome 于 2009-8-18 17:32 编辑
你是不是没看清楚.既然都被黑了,那入侵者要改安全校验的部分也不是什么问题吧,这个还有意义?
412268499 发表于 2009-8-18 17:26 http://bbs.ioage.com/cn/images/common/back.gif


TW不会笨到告诉黑客,校验的TW自己的安全特征码

黑客破解校验的方法,就非常不实际了.
作者: hblf    时间: 2009-8-18 17:32

md5和sha早就不是牢不可破了,别又说来个自己发明一种校验方法,那当我这句没说




欢迎光临 世界之窗论坛 (http://bbs.theworld.cn./) Powered by Discuz! 7.2