（求科普，求辟谣）中科院报告：360产品存在三大隐私安全问题

chengfeixun

xiss_kafaan 发表于 2012-11-23 22:52
大内参和人民日报你信哪个？政府内部传阅资料和人民大会政府工作报告你信哪个？

呵呵 关于政府内部和人民大会的这个问题哈 如果求事实 我信内部传阅的  因为内部穿越没有掺杂啥  人民大会报告必定要考虑各方利益 所以这个问题也一样的...你说那是几个人的...但是他的公告明显不是说是几个人的吧？
其实随你了..每个人都有自己的爱好 非常尊重你的爱好....只是期望奇虎不要做出伤害用户的事情 不要以安全的幌子买卖隐私而已...其实很多人都是这个想法....

CiInitialize

xiss_kafaan 发表于 2012-11-23 22:56
校检？请问独立调查员自己伪造的一个dll文件都被360这个机制误当作是服务端的文件加载来运行了，还说没有 ...

不会看我贴的微博内容吗？已经说得很清楚了，要伪造DLL加载必须完全控制整个系统和浏览器，并且通过这个干掉校验机制才有可能，否则根本无法被利用，尤其是什么DNS篡改，什么第三方服务器根本就不可能，而如果已经可以控制浏览器，根本就不再需要利用这个接口来加载DLL，直接自己就加载DLL了。

还是你选择性失明了？

xiss_kafaan

心碎乌托邦 发表于 2012-11-23 22:36
我何时说什么都是假的了?
1.个别企业要求卸载要求....确实存在这个现象...但是那是个别企业,他们要求卸 ...

我何时说什么都是假的了?
1.个别企业要求卸载要求....确实存在这个现象...但是那是个别企业,他们要求卸载是他们的事情,他们说360盗窃是他们的事情,他们为什么不拿出确切证据呢?这件事情是真的没错...但是这个能够作为360盗窃隐私的证据吗?

抱歉,这个可以肯定是还不够格,所以这个事情说明360盗窃隐私这个命题是假命题...
你现在理解了没有呢?

无风不起浪无利不起早。人家一间外贸企业，一来资本雄厚过你，二来又不是你同行，犯得着专门来搞个内部通知卸载你软件的动作来抹黑你？

2.独立调查员的事情...懒得废话...先问你是否看得懂那些,知道那些...你能否证明那个的真实性,既然不能证实是真的,那怎么就知道哪个是真的哪个是假的呢?所以存在这个调查员这个事情是真的...这个还真假不了...
但是要认定360盗窃隐私这件事情还不够这个资格...所以这个也是一个假命题...DO you know?

你看不懂就是一个假命题，所以你就不信。好，那么相对论也是假的，反正我看不懂。

3.中科院内部资料...
既然是内部资料,内部资料....你那么厉害已经知道了里面的东西?既然你还不知道里面是什么,那么还请你闭上你的嘴巴,不是你说那个是屎那个就是的...你既然没有拿到真实的资料,怎么就认定别人转述的就是真的呢?
所以确实存在名字叫做这个的报告,这个事情是真的...里面的报告说明360盗窃隐私,可以被认为是有确凿证据了...这个命题是假的...到底报告有没有纰漏还不知道了...都已经说明到这个地步了难道还不够啊?

大内参和人民日报你信哪个？
政府内部传阅资料和人大会议政府工作报告你信哪个？

天下无霜

22667999 发表于 2012-11-23 12:28
360安全浏览器

360浏览器已通过中国信息安全测评中心、工信部下属中国软件评测中心的检测，证明360浏览器 ...

用户怀疑下，没什么错吧？

xiss_kafaan

CiInitialize 发表于 2012-11-23 22:58
不会看我贴的微博内容吗？已经说得很清楚了，要伪造DLL加载必须完全控制整个系统和浏览器，并且通过这个 ...

DNS篡改还不容易吗？随便搞个DNS污染不就行了？任何一个别有用心的网管都可以这样干了。

看不到吗？独立调查员只是随便伪造了一下360就误以为自己的连上了官方服务器去下载DLL文件了。

这样还不是漏洞是什么？

而且退一万步说，就算要利用这个后门很难（其实很易），360作为一款自称安全的软件干嘛要开这样一个后门？

xiss_kafaan

z13667152750 发表于 2012-11-23 22:53
内部资料同样可能是未加以验证以及进行正确评估的，同样可信度不高，尤其是这种

如果这个内部报告不是针对360而是针对百度或者金山的，我相信你准信！！

xiss_kafaan

CiInitialize 发表于 2012-11-23 22:55
那些某司编写的新闻、造假和曲解的视频报告，更不用谈买版的媒体，根本就不需要怀疑，因为本来全都是假的 ...

怀疑一切，打倒一切。就是不怀疑360，这叫客观吗？

CiInitialize

xiss_kafaan 发表于 2012-11-23 23:02
DNS篡改还不容易吗？随便搞个DNS污染不就行了？任何一个别有用心的网管都可以这样干了。

看不到吗？独 ...

我就说你选择性失明了，我贴的微博你是不敢看，还是根本就是故意不看呢

DNS篡改是容易，我说的是DNS即使篡改了，也无法利用这个接口加载恶意程序！

伪造下360服务器后，下载的DLL没签名直接被干掉了！只有在本地完全控制浏览器，故意改掉校验，才能加载没签名的DLL，而此时已经没意义了。

所以你根本不用退一万步说，你现在已经退到一万步后面去了

关于为什么要有这个安全机制（而不是什么后门），微博里一上来也说了，你又选择性失明了。

z13667152750

xiss_kafaan 发表于 2012-11-23 23:02
DNS篡改还不容易吗？随便搞个DNS污染不就行了？任何一个别有用心的网管都可以这样干了。

看不到吗？独 ...

这是 独立调查员 视频中的一张图，360会校验该dll的签名，无效则直接删除，请问如何被第三方利用？

独立调查员 通过 调试器 绕过该校验过程才能利用该dll，但是请注意，调试器本身就已经是系统最高权限了，

根据信息安全的原则，如果病毒已经具有了最高权限，那么就没有漏洞，因为利用漏洞的目的就是获得系统权限，你已经有系统最高权限这个果了，还有利用漏洞这个过程干什么？

xiss_kafaan

CiInitialize 发表于 2012-11-23 22:58
不会看我贴的微博内容吗？已经说得很清楚了，要伪造DLL加载必须完全控制整个系统和浏览器，并且通过这个 ...

你再贴一下那个微博内容，我现在被你们围喷死了，很多帖子都来不及看了。。。