Firefox: 正成为一座即将坍塌的"危房" ?

来源: LUPA开源社区

　　各位Geek们，你们现在还认为正在使用的"火狐"还安全吗？现在看来作为开源软件的火狐似乎还是很安全的。话虽如此，但要指出的是目前在这头"火狐"身上的出现安全方面的问题越来越值得我们重视了。正如一些安全专家们所言，整个问题的核心围绕着Firefox的扩展，也就是我们通常说的插件。

　　好的，我们来看看美国Geeks的观点，早先阅读了华盛顿邮报的一篇文章 （黑客对IE转移了兴趣？！下一个目标 - 火狐）非常明白得阐述了这个问题: 一些在室内的Wifi接入点（分布在Mcdonalds, Starbucks或者是Safeway，甚至有可能是百脑汇，太平洋卖场）有可能会成为安全隐患的突发点。

　　1、根据这篇文章的分析，哪些"不法分子"最有可能使用的一种攻击方式就是截取Firefox插件升级包，然后在其中注入一些恶意程序，最后坐等上钩的用户。成功的几率？非常高！这一点是肯定的，为什么，每当我们打开Firefox浏览器，然后Popup出一个"至关重要的插件更新，强烈建议你升级"你会怎么想？hmmm....Firefox很安全，没问题；点击 -〉升级，殊不知自己已经上了圈套。

　　2、第二种比较常用的手段就是黑客通过一些"钓鱼网站"；把正在升级Firefox插件的链接转移到这些个网站，一旦进入这写网站，它会提示"数字签名未成功需要重新安装插件"，这样我们又上了一当！

　　目前大家所讨论的，所关心的就是开源的Firefox比起IE，Opera有多么多么安全，多么多么美妙。殊不知那些钓鱼网站已经悄悄的把黑手从之前的email转移到了Mozilla头上。就如之前Mozilla首席技术官提到过的插件问题，引出Firefox的插件安全性是否需要重新评估？我个人完全同意这点，我想众多的Geeks也应当认同这一点。事实上，插件问题的核心就在于插件从远程服务器中的传输，用软件工程的话来讲，就是不安全，脆弱的，不强壮的；而这一点会被一些"坏人"（当然不是那些无耻的剽窃者）利用"Backdoor"进入你的系统。

　　道高一尺，魔高一丈；我们自然有相应的对策，其中比较靠谱的一条就是采用基于Debian Linux的软件安装容器管理，考虑到大量的Ubuntu Linux的用户（相比较而言，Debian用户相对专业）盲目地选择软件包安装容器源而缺乏理性的考虑；往往是看到一个新的应用程序在某个网站发布，不管自己需要不需要，直接Copy-and-Paste，这样自己的"后门"大开，当然安全性就谈不上了。为什么会出现这种事情？即便是Ubuntu Package Manager也申明某些在容器中的软件并没有通过验证。

　　尽管现在一些Geeks认为自己"体验"过n多Linux发行版，而自认为自己是"Expert"，他们很有可能会成为被自己直觉驱使成为安全问题牺牲品的典范。我们这些理性的Geeks们所应当做的就是理智看待插件，不要以为插件这么神秘而一看到含有xpi后缀的文件就认为是Firefox的插件所以就盲目下载，或者是傻等哪些官方的或者是非官方的升级（而不经过大脑的思考）。

　　好吧，这篇文章的语气可能有点偏激，但是希望这一点能够引起各位Geeks的警惕。
声明：LUPA开源社区刊登此文只为传递信息，并不表示赞同或者反对。