〔請先標明相關瀏覽器種類；請按 ctrl＋y 刪除此行〕 【瀏覽器】 Mozilla Firefox 【情報分享】 我一開始是在這裡看到的 http://channel9.msdn.com/wiki/default.aspx/Channel9.InternetExplorerSecurity 稍微詳細的敘述在這裡 http://www.nd.edu/~jsmith30/xul/test/spoof.html 嗯...雖然目前看起來沒有破壞力，但是有「成為具有破壞力的東西」的潛力 而且被強調的是 Mozilla have known about it for 5 years and been unable or unwilling to do anything about it. 雖然我還是在用 Firefox，不過以 Firefox 推廣過程中愛用的 「24小時內就會推出修正檔」來說，這是一個很具殺傷力的反宣傳 （不管實際具有破壞力的東西是否已經真的被做出來） 不知道 Mozilla 基金會到底怎麼看待這件事... -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.243.139 ※ 編輯: fragileness 來自: 140.112.243.139 (08/14 23:28) > -------------------------------------------------------------------------- < 作者: sonyu (考慮中,pcmanx) 看板: Browsers 標題: Re: [情報] 關於Firefox的安全性問題 時間: Sun Aug 15 00:54:19 2004 ※ 引述《fragileness (人生就是不斷後悔)》之銘言： : 〔請先標明相關瀏覽器種類；請按 ctrl＋y 刪除此行〕 : 【瀏覽器】 Mozilla Firefox : 【情報分享】 : 我一開始是在這裡看到的 : http://channel9.msdn.com/wiki/default.aspx/Channel9.InternetExplorerSecurity : 稍微詳細的敘述在這裡 : http://www.nd.edu/~jsmith30/xul/test/spoof.html : 嗯...雖然目前看起來沒有破壞力，但是有「成為具有破壞力的東西」的潛力 : 而且被強調的是 Mozilla have known about it for 5 years : and been unable or unwilling to do anything about it. : 雖然我還是在用 Firefox，不過以 Firefox 推廣過程中愛用的 : 「24小時內就會推出修正檔」來說，這是一個很具殺傷力的反宣傳 : （不管實際具有破壞力的東西是否已經真的被做出來） : 不知道 Mozilla 基金會到底怎麼看待這件事... 來解釋一下這個問題... 看了一下　Fake的畫面是由下列的code組成 function clickhere() { window.open("browser.xul", "_blank", "location=0,menubar=0,resizable=0,scrollb ars=0,status=0,titlebar=1,toolbar=0,left=0,top=0,height=10000,width=10000"); } <script src="browser.xul" type="text/javascript"></script> <script src="pageInfo.xul" type="text/javascript"></script> <script src="certViewer.xul" type="text/javascript"></script> <script src="viewCertDetails.xul" type="text/javascript"></script> <script src="login.htm" type="text/javascript"></script> <script src="browser.css" type="text/javascript"></script> <script src="browser2.css" type="text/javascript"></script> XUL是Gecko-based應用程式 　 用來定義GUI的東西 事實上如果去看Mozilla的Source 除了Rendering Engine Gecko之外 　 其他都是Javascript, CSS, 加上XUL Firefox, Mozilla, Thunderbird, Nvu, 一堆extensions都是這樣來的XD 它們是這類型程式的基礎。 像是Menu上的項目　都是XUL做出來的 然後按了之後，會有對應的Javascript Function被執行。 好處是快速的開發速度 完全不需要compile, 就可以這類型的程式直接執行 :P (這些程式是個容器， 它們有預設載入的chrome) ╔═══════════╕ ║App: a container ║ ║(with Default chrome) ║ ║GUI by XUL and CSS ════＞ Functions by Javascript ╚═══════════╜ 所以很自然的　如果網頁有XUL的連結 　 他們也可以被載入...甚至換掉整個介面... 那個國外網頁玩的就是這種遊戲 它開了新window 把相關的GUI都換掉了:P 雖然這是Gecko系程式運作的基礎 不過在browser的應用上， 　 卻應該禁止網頁載入XUL的功能... (因為平常看網頁不會想把整個程式換掉吧＠＠ ) 我想這就是他的原意吧　　 不管做到這點有沒有技術上的困難 但隨著Firefox的使用者越來越多 　 難保不會有人利用這點來做壞事 　 就像IE惡名昭彰的ActiveX。 Mozilla.org在超越IE之前 必須解決此問題 否則連累的不只是其自身的產品 還有廣泛使用Mozilla產品的Linux系統。 -- ※ 編輯: sonyu 來自: 61.222.248.244 (08/15 16:18) > -------------------------------------------------------------------------- < 作者: sonyu (Reset.) 看板: Browsers 標題: Re: [情報] 關於Firefox的安全性問題 時間: Sun Aug 15 16:26:45 2004 對了 Mozilla.org對此事應該不是完全不回應 bugzilla所列管的相關bugs中 活動記錄都相當活躍 mozillazine上的討論串，甚至長達5頁 同時它也已經出現在CAN上面了... 完全置之不理的可能應該不高 期待修正版吧:P p.s. Firefox 0.9.3修正了兩個嚴重的bug 在網路上有金錢交易的版友 記得去更新喔 :) -- -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.222.248.244