我們發現綠壩中有許多允許遠程操作的漏洞,網站可以對使用了綠壩的訪問者的電腦進行遠程操控。
綠壩由於編寫錯誤,程式中有重大的安全隱患。用戶假如安裝了綠壩,網站就有可能利用這些問題來操作用戶的電腦,例如偷竊私人資訊、發送廣告等等。此外,綠壩聯網更新黑名單的過程也有漏洞,開發者或其他人可以在這一過程中給用戶隱秘地安裝惡意軟體。
我們經過不到12個小時的測試就發現了如上眾多隱患,有理由相信這只是冰山的一角。綠壩中頻頻出現不安全和過時的編程方法,這也可能引發更多問題。要解決這些問題非一日之功,當前我們建議用戶們立即卸載綠壩,以保障自己的上網安全。
綠壩工作原理
綠壩過濾有三種方法——網址過濾、網上圖象過濾和(多程式)文字監控。過濾列表中不僅包括色情、成人內容,也包括政治資訊。
網站圖象過濾功能的原理是,搜索圖象中與人體膚色相同的面積,假如比重過大就過濾,(臉部特寫除外)。經我們研究發現,程式中的代碼庫和設置等檔來自開源軟件OpenCV。
文字過濾涉及眾多程式,過濾列表中有許多淫穢字眼和My cc98, myhome.相關辭彙。我們已將這些列表解密公佈(請點原文連接,找其中的xwordl.dat xwordm.datxwordh.dat,可以直接點開看)。另一個用於較複雜的句子過濾的檔叫FalunWord.lib。當程式中出現這些詞句時,程式會被強制關閉,綠壩給出一個警告。
網址過濾:綠壩對於網址過濾有黑名單與白名單,通過一些設置進行處理。
我們發現黑名單中有許多是從美國製作的過濾軟體CyberSitter(電子保姆)中取來的。而且,一個加密的設置檔,wfileu.dat,還給出了 CyberSitter網站上的下載地址。我們還發現一個安裝檔xstring.s2g,表明這些黑名單最早從2006年就開始收集了。最後,csnews.dat是CyberSitter在2004年的一個新聞消息的加密版本。——我們猜這個檔是因為尾碼名和黑名單檔相同而被誤放進去的。
安全隱患:
我們只測試了一天就發現了兩個重大安全隱患(簡介裏有提及,懶得翻譯了)。
我們建了個測試網站http://wolchok.org:8000
如果你安裝了綠壩,點這個地址會造成你的流覽器崩潰。
這證明這一漏洞可以被利用——別有用心者可以通過同樣的手段讓用戶自動運行惡意程式。
目前最安全的方法是卸載綠壩。
此外,更新黑名單列表的過程也有很多漏洞。同樣能讓用戶運行惡意程式,操控用戶電腦,等等。
卸載綠壩
我們發現綠壩卸載後還會留下一些記錄檔,換言之用戶的行為被記錄下來後會永遠留在電腦裏。
結論
綠壩使上網更危險
2009年6月13日星期六
circus的leo说的话
最近在看circus的节目,真的感觉的是完全的放松。
应用网友的话:
4个热血的青年,曾经带给我们欢乐,笑容.曾经告诉我们还没去实现的梦想一定要付诸行动.曾经用行动证实给我们看,青春就要这样子,不是吗?他们一步一步的努力,无可否认感动到我们了.
下面是leo的话:
岁月如梭!光阴如太空梭!
转眼间
circus狗仔队正式迈入倒数第2集
换句话说!就是再过两个星期
我们就要暂别
我们就要好一段时间不能见面了
其实
我偷偷羡慕著
那些不用分1.2.3季可以永远non-stop的节目
为什麼我们那麼努力
节目还是要走走停停
为什麼我们总是没办法永续的做下去
是收视成绩不够好吗?
还是我们节目不好看?
其实
我心里真的很不平衡
kid.eason.小马应该也是吧!?
除了康熙来了以外!
我才不相信台湾有哪个年轻型态的谈话性节目比circus狗仔队屌
也许这句话听起来有点自大!
但我心里真的是这样认为!
我不甘心
也不服气
为什麼…circus的人生要一直走走停停!
circus很棒
不是吗?
算了!
管他世界叫人躁郁
管他人生多麼不公平
倒数最后两集的circus狗仔队
还是要让你看见满满的诚意
充满circus style的诚意
把你的坏心情交给我们
看完节目我要你开心的入眠
最后的两个星期六晚上
我们一样相约9点
不见不散唷!
倒数第2集
我们找来了circus的好朋友!!!
让我们欢迎苏打绿!!!
记得circus action第2季苏打绿还来上节目表演用香肠跳绳等白痴特异功能
没想到3年后
他们已经是站上小巨蛋又代言可口可乐的偶像团体了!
加油阿!circus!
你们的老朋友已经赢你们太多了唷!!!
circus go!!!
应用网友的话:
4个热血的青年,曾经带给我们欢乐,笑容.曾经告诉我们还没去实现的梦想一定要付诸行动.曾经用行动证实给我们看,青春就要这样子,不是吗?他们一步一步的努力,无可否认感动到我们了.
下面是leo的话:
岁月如梭!光阴如太空梭!
转眼间
circus狗仔队正式迈入倒数第2集
换句话说!就是再过两个星期
我们就要暂别
我们就要好一段时间不能见面了
其实
我偷偷羡慕著
那些不用分1.2.3季可以永远non-stop的节目
为什麼我们那麼努力
节目还是要走走停停
为什麼我们总是没办法永续的做下去
是收视成绩不够好吗?
还是我们节目不好看?
其实
我心里真的很不平衡
kid.eason.小马应该也是吧!?
除了康熙来了以外!
我才不相信台湾有哪个年轻型态的谈话性节目比circus狗仔队屌
也许这句话听起来有点自大!
但我心里真的是这样认为!
我不甘心
也不服气
为什麼…circus的人生要一直走走停停!
circus很棒
不是吗?
算了!
管他世界叫人躁郁
管他人生多麼不公平
倒数最后两集的circus狗仔队
还是要让你看见满满的诚意
充满circus style的诚意
把你的坏心情交给我们
看完节目我要你开心的入眠
最后的两个星期六晚上
我们一样相约9点
不见不散唷!
倒数第2集
我们找来了circus的好朋友!!!
让我们欢迎苏打绿!!!
记得circus action第2季苏打绿还来上节目表演用香肠跳绳等白痴特异功能
没想到3年后
他们已经是站上小巨蛋又代言可口可乐的偶像团体了!
加油阿!circus!
你们的老朋友已经赢你们太多了唷!!!
circus go!!!
2009年6月12日星期五
QQ是如何监视你的聊天记录的
不会善罢甘休,她要“打电话问问看”。但无论如何,腾讯记录了该用户的使用信息,这不能不引起更多的使用者对网络通讯软件的安全问题引起重视。
附录:腾讯公司的书面答复意见
谷龙你好:
关于就杭州用户号码被封一事所发来的提纲,腾讯公司的正式答复如下,希望你凭着客观公*正的态度去报道。
首先需要严正申明的一点是,海量的信息之下,腾讯公司采取点对点的消息收发方式,决定了腾讯不能去监视用户在电脑上的操作情况。任何进行不实情况的报道的单位或个人,则需负相应责任。
作为一种即时通信软件,腾讯QQ在技术上采用的原理是一种点对点的方式。也就是说,在大部分情况下,用户之间的沟通是从一个用户到另一个用户,不需要通过腾讯服务器的中转。只有在网络不稳,网络情况复杂或用户下线等特殊情况下,腾讯服务器才会帮助用户保存并中转留言。按照上级的网络安全信息处理的规定,通过服务器中转的留言,作为腾讯公司发出的消息,将会经过信息安全的过滤机制,该名用户正是因为通过腾讯服务器中转了含有敏感词汇的留言内容,因此腾讯做了封号处理。至于后来解封,是因为该用户的留言内容虽含有敏感内容,但还不属于有意传播非***法内容的情况。为了保障用户权益,我们对这个号码做了解封的处理。
腾讯公司一向注重并保护用户隐私。关于该用户的留言内容,发送时间与对方号码,腾讯目前不能提供。
如有需要,腾讯会在法律手续齐全的情况下提供。
腾讯QQ为海量用户提供服务,每天有超过两千万用户上线沟通、聊天。发送消息量在10亿条/天左右,腾讯无必要也无能力保存每位用户的每条留言纪录,更谈不上监视一亿六千万用户的电脑使用行为。
在主管部门的要求下,腾讯会配合主管部门对网络安全工作进行协助,并按主管部门要求做一些处理。一切行为均符合有关规定与要求。
腾讯公司
附:国内一资深程序员谈QQ和1984.
从技术上来讲,象QQ这样安装在非常多的电脑里的软件内容: 非常合适拿来做监视软件。说穿了,就是非常合适在里面安装后门。
“腾讯QQ为海量用户提供服务,每天有超过两千万用户上线沟通、聊天。发送消息量在10亿条/天左右,腾讯无必要也无能力保存每位用户的每条留言纪录,更谈不上监视一亿六千万用户的电脑使用行为。”
这段话看起来似乎有道理。如果要拿一台大型服务器集中管理10亿条消息,那台服务器还真得投资巨大,运算速度巨大才行。
但如果只在QQ软件本身对用户进行监视,利用每个用户自己的cpu运算资源,只发现“敏感”词汇的时候才将“敏感”消息传到特定的地方,需要用来监视的服务器就不需要太大型了。
“作为一种即时通信软件,腾讯QQ在技术上采用的原理是一种点对点的方式。也就是说,在大部分情况下,用户之间的沟通是从一个用户到另一个用户,不需要通过腾讯服务器的中转。”
如果QQ软件本身对使用这进行监视,点对点的消息也一样可以监视到。
中国Internet的国际出口,每天多大的信息流量啊,在我们伟大的“长城”项目的科研成果管理下,如此巨大的信息流量,还不照样每条信息都过滤。
附录:腾讯公司的书面答复意见
谷龙你好:
关于就杭州用户号码被封一事所发来的提纲,腾讯公司的正式答复如下,希望你凭着客观公*正的态度去报道。
首先需要严正申明的一点是,海量的信息之下,腾讯公司采取点对点的消息收发方式,决定了腾讯不能去监视用户在电脑上的操作情况。任何进行不实情况的报道的单位或个人,则需负相应责任。
作为一种即时通信软件,腾讯QQ在技术上采用的原理是一种点对点的方式。也就是说,在大部分情况下,用户之间的沟通是从一个用户到另一个用户,不需要通过腾讯服务器的中转。只有在网络不稳,网络情况复杂或用户下线等特殊情况下,腾讯服务器才会帮助用户保存并中转留言。按照上级的网络安全信息处理的规定,通过服务器中转的留言,作为腾讯公司发出的消息,将会经过信息安全的过滤机制,该名用户正是因为通过腾讯服务器中转了含有敏感词汇的留言内容,因此腾讯做了封号处理。至于后来解封,是因为该用户的留言内容虽含有敏感内容,但还不属于有意传播非***法内容的情况。为了保障用户权益,我们对这个号码做了解封的处理。
腾讯公司一向注重并保护用户隐私。关于该用户的留言内容,发送时间与对方号码,腾讯目前不能提供。
如有需要,腾讯会在法律手续齐全的情况下提供。
腾讯QQ为海量用户提供服务,每天有超过两千万用户上线沟通、聊天。发送消息量在10亿条/天左右,腾讯无必要也无能力保存每位用户的每条留言纪录,更谈不上监视一亿六千万用户的电脑使用行为。
在主管部门的要求下,腾讯会配合主管部门对网络安全工作进行协助,并按主管部门要求做一些处理。一切行为均符合有关规定与要求。
腾讯公司
附:国内一资深程序员谈QQ和1984.
从技术上来讲,象QQ这样安装在非常多的电脑里的软件内容: 非常合适拿来做监视软件。说穿了,就是非常合适在里面安装后门。
“腾讯QQ为海量用户提供服务,每天有超过两千万用户上线沟通、聊天。发送消息量在10亿条/天左右,腾讯无必要也无能力保存每位用户的每条留言纪录,更谈不上监视一亿六千万用户的电脑使用行为。”
这段话看起来似乎有道理。如果要拿一台大型服务器集中管理10亿条消息,那台服务器还真得投资巨大,运算速度巨大才行。
但如果只在QQ软件本身对用户进行监视,利用每个用户自己的cpu运算资源,只发现“敏感”词汇的时候才将“敏感”消息传到特定的地方,需要用来监视的服务器就不需要太大型了。
“作为一种即时通信软件,腾讯QQ在技术上采用的原理是一种点对点的方式。也就是说,在大部分情况下,用户之间的沟通是从一个用户到另一个用户,不需要通过腾讯服务器的中转。”
如果QQ软件本身对使用这进行监视,点对点的消息也一样可以监视到。
中国Internet的国际出口,每天多大的信息流量啊,在我们伟大的“长城”项目的科研成果管理下,如此巨大的信息流量,还不照样每条信息都过滤。
订阅:
博文 (Atom)
博文
