（求科普，求辟谣）中科院报告：360产品存在三大隐私安全问题

xiss_kafaan

chengfeixun 发表于 2012-11-23 22:50
工信部下属中国软件评测中心的公告说这个是昨天的内部交流稿  不是你所谓的几个人....还有就是他们还没有 ...

大内参和人民日报你信哪个？政府内部传阅资料和人民大会政府工作报告你信哪个？

chengfeixun

asinasina 发表于 2012-11-23 12:45
连中国化的火狐都不安全。只有原版chrome和火狐，开启反追踪，还不错

数字说是全球第二家支持禁止跟踪的哦...第一家是微软 第二家就是奇虎  你说的谷歌  火狐 ...难道我落后了？还是....其实我就是用的谷歌 也开启了  但是这个问题有些奇怪的就是这个禁止跟踪据说也是要看服务商的心情...看谷歌的简介是这样...所以在中国 我不相信他们的心情....还是会跟踪

z13667152750

xiss_kafaan 发表于 2012-11-23 22:52
大内参和人民日报你信哪个？政府内部传阅资料和人民大会政府工作报告你信哪个？

内部资料同样可能是未加以验证以及进行正确评估的，同样可信度不高，尤其是这种

CiInitialize

z13667152750 发表于 2012-11-23 22:50
因为加载时不校验所以才会出这个视频呀....

这种机制确实不存在 独立调查员 测试中的那个漏洞，但是还 ...

替换文件的前提是必须要调试浏览器并精确控制其运行，否则都会被签名验证拒绝

而这么做的本质就是已经完全控制浏览器的运行了，当然可以想让浏览器做什么就做什么了，所以根本不能算利用及漏洞，也不可能被病毒木马利用，更别说什么篡改DNS，篡改服务器了，那都是纯黑。

下载后验证，和加载时验证是一个概念，验证和加载是两步过程，只能先校验后加载，没有所谓完全同步的“加载时校验”。

xiss_kafaan

z13667152750 发表于 2012-11-23 22:50
因为加载时不校验所以才会出这个视频呀....

这种机制确实不存在 独立调查员 测试中的那个漏洞，但是 ...

你到底是真不明白还是在闪烁其词，回避重点？

视频的核心内容就是，360存在一个机制，不是用来下载更新文件的，而是用来接受360公司的指令的，虽然没有证据证明360公司曾利用这个机制来做一些不法勾当，但是这个机制：
1、是隐藏机制，360没有说明。
2、这个机制极容易被不法第三方利用，损害用户隐私安全，是为后门

CiInitialize

xiss_kafaan 发表于 2012-11-23 22:51
那你现在就是，怀疑新闻，怀疑报告，怀疑媒体，几乎怀疑一切。但是你为何就不怀疑一下360？你这样算是可观 ...

那些某司编写的新闻、造假和曲解的视频报告，更不用谈买版的媒体，根本就不需要怀疑，因为本来全都是假的。

ssactt

不知道怎么科普了，原帖似乎被和谐了

xiss_kafaan

CiInitialize 发表于 2012-11-23 22:46
下载后校验不就是加载前是校验吗？所以说根本没有漏洞，这些所谓报告、视频全部都是捏造或恶意曲解的

...

校检？请问独立调查员自己伪造的一个dll文件都被360这个机制误当作是服务端的文件加载来运行了，还说没有漏洞？至少说明这个校检机制是有漏洞的吧？

z13667152750

xiss_kafaan 发表于 2012-11-23 22:55
你到底是真不明白还是在闪烁其词，回避重点？

视频的核心内容就是，360存在一个机制，不是用来下载更新 ...

如何被第三方利用？

根据360微博的说明，被第三方利用的前提条件极为苛刻，必须完全控制系统才可以利用，因此不算漏洞

你都已经完全控制系统了，还要什么漏洞

CiInitialize

xiss_kafaan 发表于 2012-11-23 22:55
你到底是真不明白还是在闪烁其词，回避重点？

视频的核心内容就是，360存在一个机制，不是用来下载更新 ...

第一点,你见过哪个软件把所有机制都给你讲明白了？尤其是安全软件，把机制都说清楚了，还杀不杀木马了？

第二点你还真是选择性失明视而不见啊，我前面都贴了揭穿造假视频的微博地址了，根本就无法被第三方利用，跟别谈什么后门了