WooYun Zone镜像——一种可能的针对云端的监控

admin 7月前 145

一种可能的针对云端的监控

xsser (十根阳具有长短!!) |2012-11-27 01:04

最近360的隐私事情闹得很火,也有很多人质疑360存在后门行为,我也觉得定期去下载一个文件并且执行的确是让人觉得蛋疼的事情,但是的确很多的软件都有这个功能,每次打dota就需要从服务器上更新点东西下来执行exe进行升级,但是这的确是个危险的事情,因为:

1 下载的exe并不可信,而exe允许了直接控制客户端的能力,很容易被病毒和漏洞利用

2 即使下载的exe可信,但是很多公司并没有赢得用户的信任,很容易被怀疑是下载后门

而所有类似的这种云模式都会存在这种问题,一个比较好的方案是要求软件对于互联网通讯和联络模块经得起审计,可以要求:

1 要求被签名证明文件的可信性

2 所有更新的文件应该有记录和备份,随时可以被审计

并且确保整个机制的实现是可以被外部监督的,这样这个世界会好一些吧

:)

1#

p4n9ur (- -) | 2012-11-27 01:32

好比远控做大了,就得考虑传输的加密性

2#

斯文的鸡蛋 (唧唧复唧唧,木兰当母鸡) | 2012-11-27 02:05

你是真的xsser?还是假冒的那个xsser?

3#

斯文的鸡蛋 (唧唧复唧唧,木兰当母鸡) | 2012-11-27 02:06

所有更新的文件应该有记录和备份,随时可以被审计。

我觉得这个实现起来不大可能,除非第三方中立的出来做。

4#

斯文的鸡蛋 (唧唧复唧唧,木兰当母鸡) | 2012-11-27 02:07

可以确认你这号是真的了= =!

5#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2012-11-27 08:19

参考微软自动更新……

6#

se55i0n (哪些年我们一起看的岛国动作片~) | 2012-11-27 13:03

个人觉得貌似还比较远~

7#

一刀终情 (? 麻麻说,签名要长……?(名签个两以可说据) | 2012-11-27 15:21

关键,就是不能给你审计的,怎么办呢……

8#

xsser (十根阳具有长短!!) | 2012-11-27 15:25

@一刀终情 推行标准,不能审计的就保持谨慎态度

9#

白胡子 | 2012-11-27 18:20

@se55i0n 不知道为什么,觉得你的头像很可爱

10#

鸡鸡 (我真的蛋痛) | 2012-11-27 18:30

楼主还打DOTA啊!!

11#

horseluke (微碌) | 2012-11-27 18:50

@核攻击 微软自动更新是不是依赖签名体系的?

12#

小胖子 (z7y是我的,你们谁也不准抢~) | 2012-11-27 19:37

第二条赞成,随便你怎么更新,但是必须有详尽的备份,随时等待审计,但是,备份这个问题,也是个难事。

13#

xsser (十根阳具有长短!!) | 2012-11-27 21:12

@小胖子 这个就是说规则嘛

14#

斯文的鸡蛋 (唧唧复唧唧,木兰当母鸡) | 2012-11-27 21:14

@小胖子 所以这个不大可行

15#

se55i0n (哪些年我们一起看的岛国动作片~) | 2012-11-28 08:59

@白胡子 哈哈,基友是否有种莫名的亲切感~

16#

CHForce (带马师) | 2012-11-28 10:29

的确是这样的问题,多方验证也不安全

17#

斯文的鸡蛋 (唧唧复唧唧,木兰当母鸡) | 2012-11-28 10:31

还有一个问题,假如审计这方安全不过关导致的后果可想而知

18#

xsser (十根阳具有长短!!) | 2012-11-28 10:34

@斯文的鸡蛋 审计这方应该是把权利交给所有人 就跟财政公开一样


最新回复 (0)
返回
发新帖