当前位置:主页   - 电脑 - 媒体制作
Apollo是危险的吗?
来源:蓝色经典   作者:KingdaSun   更新时间:
收藏此页】    【字号    】    【打印】    【关闭

KingdaSun的blog:http://www.kingda.org/

善意的警告,目前所有发布的Apollo(alpha1)的air文件都可能是你系统潜在的杀手。有可能是作者无意间所犯的编程错误,也有可能是有意而为之。敬告所有Apollo爱好者请勿要乱下air文件安装执行。应该只从值得信赖的网站下载,或者只下载有源码的Apollo程序,自行编译。

Apollo不是Flash,它的功能所及远远超过Flash,它的危险也远远超过Flash。

一年多前Apollo的传言漫天飞时,在激动之余,黑羽不禁就在想Apollo提供的安全模型会是怎样。任何一个可以和用户本地系统打交道,又可以和网络打交道的东西,在我看来都是危险分子或是潜在的威胁。所以我就在想Adobe能解决好这个问题吗?当然在目前的情况下,是不可能完全消除这种类型程序的危险性的。我所要求的是,能有一个合理的安排,换句话说,区分不同的程序访问权限,给于不同的权力。

而现在,毋庸讳言,Apollo Alpha 1是危险的。等到将来的Apollo正式版会有安全权限的区分,但现在Alpha1的程序是有潜在危险的。

从安全策略上

Apollo alpha1对所有Apollo程序只提供一种安全沙箱——Security.APPLICATION。这是目前除了LOCAL_TRUSTED、LOCAL_WITH_FILE、LOCAL_WITH_NETWORK、REMOTE之外提供的第五种安全沙箱。按危险性大小来排序,就是REMOTE<LOCAL_WITH_NETWORK<LOCAL_WITH_FILE<LOCAL_TRUSTED <<< APPLICATION 不受限制的从外部载入数据,这一点本身就是危险的。要小心在载入的超链接中有代码注入(code injection),下载的swf含有敌意的操作,处理缓存json数据时恶意代码僵尸复活。

从客户端系统访问上

Apollo程序可以访问本地文件。我们所有Apollo的粉丝都在欢呼这一点。但是,从来不可忘记,这东西是双刃剑,可以攻城也可自伤。目前的Apollo alpha 1编译出来的apollo程序(打包文件是air),都是可以访问本地所有文件的。对Windows系统而言,使用Apollo,可以轻松访问到你本地电脑上所有文件,包括Windows, system,system32,以及你所有的机密目录。有意编写一个apollo,来故意误导用户、改写或覆盖你现有的文件,是容易办到的事情。电脑新手注意,用Apollo覆写文件,就和C#等其他语言一样,是不会弹出警告窗口的。

Apollo 程序的实质

Apollo是真正的程序,是真正的exe文件。不要忘了这一点。再做个不很恰当的描述,Apollo实际上是一个swf+exe。当然它们都受到Apollo Runtime的限制。
随便安装一个air文件,然后右键单击它安装在桌面上的快捷方式,选择查找目标,你会看到Apollo真正的面目。一个exe文件,加一些目录,一般在bin目录下静静躺着swf文件。再加上系统预先安装的Apollo Runtime,这就构成了完整的Apollo程序。对Apollo工作的机理,我可以打个简单的比喻,swf和包装的exe打交道,exe再和runtime打交道,然后runtime才和客户系统打交道。(实际当然远远不止这么简单,供新手理解,老手勿笑)

其它资源
来源声明

版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明