1。根据这篇文章的分析，哪些"不法分子"最有可能使用的一种攻击方式就是截取Firefox插件升级包，然后在其中注入一些恶意程序，最后坐等上钩的用户。成功的几率？非常高！这一点是肯定的，为什么，每当我们打开Firefox浏览器，然后Popup出一个"至关重要的插件更新，强烈建议你升级"你会怎么想？hmmm....Firefox很安全，没问题；点击 -〉升级，殊不知自己已经上了圈套。

2。第二种比较常用的手段就是黑客通过一些"钓鱼网站"；把正在升级Firefox插件的链接转移到这些个网站，一旦进入这写网站，它会提示"数字签名未成功需要重新安装插件"，这样我们又上了一当！

目前大家所讨论的，所关心的就是Firefox比起IE，Opera有多么多么安全，多么多么美妙。殊不知那些钓鱼网站已经悄悄的把黑手从之前的email转移到了Mozilla头上。就如之前Mozilla首席技术官提到过的插件问题，引出Firefox的插件安全性是否需要重新评估？我个人完全同意这点，我想Solidot的Geeks也应当认同这一点。事实上，插件问题的核心就在于插件从远程服务器中的传输，用软件工程的话来讲，就是不安全，脆弱的，不强壮的；而这一点会被一些"坏人"（当然不是那些无耻的剽窃者）利用"Backdoor"进入你的系统。

道高一尺，魔高一丈；我们自然有相应的对策，其中比较靠谱的一条就是采用基于Debian的软件安装容器管理，考虑到大量的Ubuntu Linux的用户（相比较而言，Debian用户相对专业）盲目地选择软件包安装容器源而缺乏理性的考虑；往往是看到一个新的应用程序在某个网站发布，不管自己需要不需要，直接Copy-and-Paste，这样自己的"后门"大开，当然安全性就谈不上了。为什么会出现这种事情？即便是Ubuntu Package Manager也申明某些在容器中的软件并没有通过验证。

尽管现在一些Geeks认为自己"体验"过n多Linux发行版，而自认为自己是"Expert"，他们很有可能会成为被自己直觉驱使成为安全问题牺牲品的典范。我们这些理性的Geeks们所应当做的就是理智看待插件，不要以为插件这么神秘而一看到含有xpi后缀的文件就认为是Firefox的插件所以就盲目下载，或者是傻等哪些官方的或者是非官方的升级（而不经过大脑的思考）。

好吧，这篇文章的语气可能有点偏激，但是希望这一点能够引起各位Geeks的警惕。

最新更新 : 25-10-2007 12:29