Firefox:一座即将坍塌的“危房”?
来源:中国电子政务网 更新时间:2007-07-02

  各位Geek们,你们现在还认为正在使用的火狐还安全吗?现在看来似乎还是很安全的。话虽如此,但要指出的是目前在这头火狐身上的出现安全方面的问题越来越值得我们重视了。正如一些安全专家们所言,整个问题的核心围绕着Firefox的扩展,也就是我们通常说的插件。

  好的,我们来看看美国Geeks的观点,早先阅读了华盛顿邮报的一篇文章 (黑客对IE转移了兴趣?!下一个目标 - 火狐)非常明白得阐述了这个问题: 一些在室内的Wifi接入点(分布在Mcdonalds, Starbucks或者是Safeway,甚至有可能是百脑汇,太平洋卖场)有可能会成为安全隐患的突发点。

  1。根据这篇文章的分析,哪些"不法分子"最有可能使用的一种攻击方式就是截取Firefox插件升级包,然后在其中注入一些恶意程序,最后坐等上钩的用户。成功的几率?非常高!这一点是肯定的,为什么,每当我们打开Firefox浏览器,然后Popup出一个"至关重要的插件更新,强烈建议你升级"你会怎么想?hmmm....Firefox很安全,没问题;点击 -〉升级,殊不知自己已经上了圈套。

  2。第二种比较常用的手段就是黑客通过一些"钓鱼网站";把正在升级Firefox插件的链接转移到这些个网站,一旦进入这写网站,它会提示"数字签名未成功需要重新安装插件",这样我们又上了一当!

  目前大家所讨论的,所关心的就是Firefox比起IE,Opera有多么多么安全,多么多么美妙。殊不知那些钓鱼网站已经悄悄的把黑手从之前的email转移到了Mozilla头上。就如之前Mozilla首席技术官提到过的插件问题,引出Firefox的插件安全性是否需要重新评估?我个人完全同意这点,我想Solidot的Geeks也应当认同这一点。事实上,插件问题的核心就在于插件从远程服务器中的传输,用软件工程的话来讲,就是不安全,脆弱的,不强壮的;而这一点会被一些"坏人"(当然不是那些无耻的剽窃者)利用"Backdoor"进入你的系统。

  道高一尺,魔高一丈;我们自然有相应的对策,其中比较靠谱的一条就是采用基于Debian的软件安装容器管理,考虑到大量的Ubuntu Linux的用户(相比较而言,Debian用户相对专业)盲目地选择软件包安装容器源而缺乏理性的考虑;往往是看到一个新的应用程序在某个网站发布,不管自己需要不需要,直接Copy-and-Paste,这样自己的"后门"大开,当然安全性就谈不上了。为什么会出现这种事情?即便是Ubuntu Package Manager也申明某些在容器中的软件并没有通过验证。

  尽管现在一些Geeks认为自己"体验"过n多Linux发行版,而自认为自己是"Expert",他们很有可能会成为被自己直觉驱使成为安全问题牺牲品的典范。我们这些理性的Geeks们所应当做的就是理智看待插件,不要以为插件这么神秘而一看到含有xpi后缀的文件就认为是Firefox的插件所以就盲目下载,或者是傻等哪些官方的或者是非官方的升级(而不经过大脑的思考)。

  好吧,这篇文章的语气可能有点偏激,但是希望这一点能够引起各位Geeks的警惕。