最近360的隐私事情闹得很火,也有很多人质疑360存在后门行为,我也觉得定期去下载一个文件并且执行的确是让人觉得蛋疼的事情,但是的确很多的软件都有这个功能,每次打dota就需要从服务器上更新点东西下来执行exe进行升级,但是这的确是个危险的事情,因为:
1 下载的exe并不可信,而exe允许了直接控制客户端的能力,很容易被病毒和漏洞利用
2 即使下载的exe可信,但是很多公司并没有赢得用户的信任,很容易被怀疑是下载后门
而所有类似的这种云模式都会存在这种问题,一个比较好的方案是要求软件对于互联网通讯和联络模块经得起审计,可以要求:
1 要求被签名证明文件的可信性
2 所有更新的文件应该有记录和备份,随时可以被审计
并且确保整个机制的实现是可以被外部监督的,这样这个世界会好一些吧
:)
生活累,一小半源于生存,一大半源于攀比。
2016-10-5
BurpSuite 1.7.11破解版下载【附多/新版本下载】
2016-11-5
Connectify Dispatch指定程序使用指定网卡[运维神器]
2014-3-25
网站备案流程_网站备案需要什么[简单明了解决备案各种问题]
2018-2-3
最新BurpSuite 1.7.32 破解版[注册机]下载【无后门版】
2016-11-8
php一句话后门的几种变形分析[preg_replace函数]
2018-6-4
Nginx 服务器日志配置 - 解决使用CDN记录真实用户IP(包括宝塔)
2016-10-24
安全预警:勒索软件正成为制马人的新方向 - 360手机卫士
2021-5-13
[无需注册充值] 通用荣誉证书/获奖证书/奖状内容模板PSD,电子版直接下载
2016-10-24
漏洞检测的那些事儿 - RickGray
2016-10-24
HCTF writeup(web) - 蓝冰
云悉指纹