V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  Jat001  ›  全部回复第 36 页 / 共 74 页
回复总数  1473
1 ... 32  33  34  35  36  37  38  39  40  41 ... 74  
2020-08-11 18:13:17 +08:00
回复了 Jat001 创建的主题 分享发现 edge 商店里的 Proxy SwitchyOmega 是李鬼
@mxT52CRuqR6o5 #86 都说了是黑盒测试,不是恶意程度的问题,而是恶意行为是否容易发现
@xuejianxianzun #88 审核功能跟审查代码是两回事,edge 肯定是要交钱的,不然开发者账号都不给开通
@xuejianxianzun #89 倒没遇到过要求提供链接的情况
@xuejianxianzun #90 现在新上架 chrome 商店的扩展,不是要对每项权限写详细说明吗
2020-08-11 02:58:47 +08:00
回复了 Jat001 创建的主题 分享发现 edge 商店里的 Proxy SwitchyOmega 是李鬼
@okampfer #80 公平的讲,不是 edge 商店的问题,审查代码成本太高了,chrome 商店也一堆恶意扩展
2020-08-11 02:54:07 +08:00
回复了 Jat001 创建的主题 分享发现 edge 商店里的 Proxy SwitchyOmega 是李鬼
@youthfire #78 没必要换所有的啊……官方有上传到 edge 商店就用 edge 商店的,不确定是官方上传的再换啊
2020-08-11 02:45:04 +08:00
回复了 Jat001 创建的主题 分享发现 edge 商店里的 Proxy SwitchyOmega 是李鬼
@lilydjwg #74 https://addons.mozilla.org/zh-CN/firefox/addon/proxy-switchyomega/ 我把这扩展原原本本地传到了 firefox 的商店,事实证明 mozilla 的审核也发现不了恶意脚本

自动审核只发现了两个无关痛痒的问题:一个是 manifest.json 里的 permissions 有重复字段,这是恶意扩展另加的,估计是复制粘贴过来也没看,删掉重复的就好;另一个是 angular 的版本太低,这个是原本就有的,这自动审核也只是检测注释里的版本号,删掉注释就过了

https://i.v2ex.co/i757gcrr.png

昨天上传的,今天就通过了,这也印证了我的想法,所谓人工审核就是黑盒测试,能用就给过,根本不会检测恶意代码
2020-08-10 17:31:47 +08:00
回复了 Jat001 创建的主题 分享发现 edge 商店里的 Proxy SwitchyOmega 是李鬼
@lilydjwg 点开图片就能看到大图,可以放大的,一点也不糊
你不会真的以为 Mozilla 会雇一堆工程师一行行审核代码吧,比如这个扩展,在没有原始代码的情况下,一个个文件找要多久。我估计那些审核都是黑盒的,不可能一行行审计代码
2020-08-10 07:06:53 +08:00
回复了 Jat001 创建的主题 分享发现 edge 商店里的 Proxy SwitchyOmega 是李鬼
@lilydjwg #70 我不是纠结这个,我是想说人工审核的成本太高了,连谷歌和微软都没能力搞的事情,mozilla 也没能力搞。而且为啥要直接写 eval 给人抓现行呢,来看看高手怎么玩的

https://i.v2ex.co/Q5LcH7UIl.jpeg

当然,这里的 jquery 是被人魔改后的,490837..toString(32) 估计也不是这个人发明的
2020-08-09 14:06:34 +08:00
回复了 Jat001 创建的主题 分享发现 edge 商店里的 Proxy SwitchyOmega 是李鬼
@lilydjwg 之前不是说了根本没有程序可以区分代码是否用了混淆吗?除了这种特征明显,用公开工具生成的混淆代码。我写一个变量和函数名全是用拼音,冗余代码一堆,完全没有代码复用,全是复制粘贴,就算放 github 上也没人想看的那种代码,这算不算混淆?有任何规定说代码写的烂不允许上架吗?你确定这样搞能触发人工审核吗?而且我都怀疑 Mozilla 有那人力搞人工审核吗?

杀毒软件不也是靠特征码,比如我写个程序上传用户数据到我自己的服务器,杀毒软件能做的无非是在程序访问敏感文件的时候拦截,最终判断还是交给用户,但用户也不知道程序访问文件是否正常啊,比如搜索程序访问文件是很正常的行为,但要是这搜索程序还附带偷偷上传文件的功能呢?另外像用到了 p2p 技术的下载软件和网盘程序,读取文件并上传大量数据都是很正常的行为,如何把这种程序跟故意上传用户隐私的程序区分开呢?

说到底,这种连普通用户都无法区分的行为,不要指望靠机器来识别。无论是浏览器扩展的应用商店还是手机 app 的应用商店,都没有那么多人力来人工审核代码,现在大家做的无非就是细化各种权限,最终交给用户来决定是否给予相应的权限。
2020-08-09 02:57:52 +08:00
回复了 Jat001 创建的主题 分享发现 edge 商店里的 Proxy SwitchyOmega 是李鬼
@lilydjwg #64 这脚本也没什么特殊行为啊,就是修改页面,很多扩展都会修改页面,甚至一些比价插件也会往页面插入返利网站的链接,靠程序根本没法区分。

我之所以能发现问题,一是有原始代码供对比,二是上传扩展的人明显就是个脚本小子,这些混淆都是用工具生成的,特征太明显了,正常人根本不会这么写代码。但如果是一个程序员想上传恶意扩展呢,都不需要技术多么牛逼,把代码写得跟屎一样就行,再加一堆没用的代码,谁能审核出来,总不能因为代码写得烂就拒绝上架吧 https://i.v2ex.co/504J5BO2.png
2020-08-09 01:09:01 +08:00
回复了 abersheeran 创建的主题 Python [想法] 给 Django 增加 Pydantic 支持
flask 是玩具还行,原来过去几年我一直在玩玩具 https://i.v2ex.co/504J5BO2.png
2020-08-09 00:51:38 +08:00
回复了 Jat001 创建的主题 分享发现 edge 商店里的 Proxy SwitchyOmega 是李鬼
@lilydjwg 最关键的一步你倒是省略了……要是有程序能理解代码逻辑,那编程 AI 早实现了
2020-08-08 16:21:45 +08:00
回复了 Jat001 创建的主题 分享发现 edge 商店里的 Proxy SwitchyOmega 是李鬼
@lilydjwg #56 人工解这种程度的混淆比较简单,一个有经验的程序员十几分钟就能搞定,但要搞个自动化程序来识别就比较困难了
2020-08-08 00:33:31 +08:00
回复了 Jat001 创建的主题 分享发现 edge 商店里的 Proxy SwitchyOmega 是李鬼
@kenvix #45 chrome 和 edge 的应用商店都是没审核的,给钱就能开通开发者账号、上传扩展,谷歌 25 刀、巨硬 19 刀,firefox 也没审核,但至少不要钱
1 ... 32  33  34  35  36  37  38  39  40  41 ... 74  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3919 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 24ms · UTC 10:17 · PVG 18:17 · LAX 02:17 · JFK 05:17
Developed with CodeLauncher
♥ Do have faith in what you're doing.