TGFC Lifestyle - Powered by Discuz! Board

标题: [其他] 就本次iCloud的安全问题，很有必要普及一些基本常识。 [打印本页]

作者: ff_cactus 时间: 2014-9-2 13:09 标题: 就本次iCloud的安全问题，很有必要普及一些基本常识。

第一，首先这个问题不能说直接是iCloud的漏洞，而是FindMyPhone这个软件可以通过无限次试密码来暴力破解，从而间接的获得到iCloud的密码。
第二，到底什么是安全，什么是不安全的问题。我们说飞机比汽车安全，现在想必也应该是一个普及了的常识，那是否可以说飞机就觉对安全，觉对不会出事？明显不是。软件系统也是如此，没有谁可以打包票说自己绝对安全，都是相对安全的。iCloud邮箱就是比Gmail安全，比QQ邮箱安全，这也是经历过时间检验的。
第三，安全问题重要不重要。在现在社会安全问题越来越重要，尤其是在普通消费领域。极少有企业能像苹果这样把安全问题摆在如此重要的位置，所以苹果是很有眼光的，也是值得尊敬的。
第四，怎样才安全。安全是个非常广泛的问题，从安全算法，到内核，到网络协议到，应用程序规则，到权限管理等等。任何一环出了问题都会直接导致真个系统的安全问题。前面那些出了问题那也没办法，最容易出问题的地方就是应用程序规则，权限管理。这里就大家常常讨论的问题来说说其中的安全性考虑。
   a. 有人说iOS最让人不能接受的就是没有安卓、Windows那套文件管理系统。这是因为这个公共的文件管理系统是绝大多数不安全因素的罪魁祸首。因为所有程序都可以访问这个公共的文件管理系统。而iOS则不然，一般程序无法访问其他程序的文件内容，比如这个播放器没法播放另外一个播放器中的歌曲。
   b. 有人说安卓开放，用户想干嘛就干嘛，只要有root权限。一般来说，如果普通用户在使用过程中需要root用户权限，那么这个系统的权限管理肯定不合适，安卓就是个典型。root权限的开放会带来巨大的安全隐患问题。而一个系统的权限管理又是一个非常基础的服务，为了兼容性几乎会伴随这个系统一生，虽然安卓默认不开启root权限，但安卓权限管理的混乱必然会伴随安卓一身，安全问题始终会挥之不去。
   c. 有人说iOS很傻比，不能换铃音，不能换输入法，不能打开这不能打开那，其后面的主要考虑的还是安全问题，只有苹果有充分把握了以后才会逐步放开。

作者: yinzhili 时间: 2014-9-2 13:17

所谓
"iCloud邮箱就是比Gmail安全，比QQ邮箱安全，这也是经历过时间检验的"

这个要摆出事实来证明，才有说服力

作者: godzillaqqq 时间: 2014-9-2 13:19

不是直接漏洞，是间接喷了，FindMyPhone这个软件到底是谷歌开发的，还是苹果开发的？

作者: shangchi 时间: 2014-9-2 13:21

所以苹果无论干什么都是好的，都是为了用户着想，不赞同就是不客观

作者: xphi 时间: 2014-9-2 13:25

第一：没有FindMyPhone这个软件，是iCloud中FindMyPhone的API接口存在低级的无抗暴力破解验证，这是一个明显而低级的错误。
第二：没有证据证明”iCloud邮箱就是比Gmail安全，比QQ邮箱安全“，而且，目前针对Gmail的攻击基本都是基于网络嗅探或者社会工程学的，Gmail还没有被发现这种低级的爆破漏洞（不能确定是否不存在，但至少还没有被发现）。
第三：没有任何地方可以看出苹果比其他公司将安全问题放得更高，提供云存储的厂商很多，所有这些厂商都向用户承诺安全的最重要性，目前对Dropbox，OneDrive，GoogleDrive虽然爆出过各种漏洞，但是类似于密码可以被爆破这种服务器级的逻辑漏洞似乎还很罕见。

作者: cnmb 时间: 2014-9-2 13:32

posted by wap, platform: iPhone
最没常识的人跑过来跟别人说常识？

作者: 小黑屋专用 时间: 2014-9-2 13:42

posted by wap, platform: iPad
千错万错都是我们的错，苹果不可能有错

作者: jk234ert 时间: 2014-9-2 13:44

我来客观地总结一下，有一个苹果牌的防盗门
第一，不能说直接是漏洞，不是门锁被破解了，只是门锁被暴力拆掉了，从而间接进入了房间
第二，谁也不能说自家防盗门肯定不会被攻破，我说苹果牌就是比其他的安全，至于为什么，我先不告诉你

第三，安全很重要，很少有苹果牌这样如此重视安全的，苹果有眼光！不要问我为什么这么说，这是要普及的基本常识！
第四，那些什么虹膜识别职位识别密码锁啥的，不是我不用，是考虑到安全
到底哪些是基本常识啊？

作者: 丹尼K 时间: 2014-9-2 13:49

posted by wap, platform: SONY 巨猴
楼主普及常识？？？
啊哈哈哈哈哈哈

不好意思，失态了……

作者: dreamlost 时间: 2014-9-2 13:50

这是反串黑？

作者: 丹尼K 时间: 2014-9-2 13:52

posted by wap, platform: SONY 巨猴

引用:

原帖由 @dreamlost 于 2014-9-2 13:50 发表
这是反串黑？

你不认识虚拟内存帝？

作者: babyhux 时间: 2014-9-2 13:52

谢虚拟大婶片

作者: sakuraltr 时间: 2014-9-2 14:12

我很好奇黑客是怎么知道那些明星的 iCloud ID 的。谁也不会主动公布这个 ID 吧？

作者: ff_cactus 时间: 2014-9-2 15:00

引用:

原帖由 xphi 于 2014-9-2 13:25 发表
第一：没有FindMyPhone这个软件，是iCloud中FindMyPhone的API接口存在低级的无抗暴力破解验证，这是一个明显而低级的错误。
第二：没有证据证明”iCloud邮箱就是比Gmail安全，比QQ邮箱安全“，而且，目前针对Gmail的 ...

1. 早就跟你讲了漏洞讨论漏洞低级不低级没有含义。绝大多数安全问题都是犯的低级错误。
2. 没有证据喷了，你自己在谷歌上搜索 gmail stolen 看看有多少结果。QQ就更不用说了。
3. 同1.

作者: hangzhou02 时间: 2014-9-2 15:04

引用:

原帖由 ff_cactus 于 2014-9-2 15:00 发表

1. 早就跟你讲了漏洞讨论漏洞低级不低级没有含义。绝大多数安全问题都是犯的低级错误。
2. 没有证据喷了，你自己在谷歌上搜索 gmail stolen 看看有多少结果。QQ就更不用说了。
3. 同1.

启用“死鸭子”辩护模式

作者: Seiker 时间: 2014-9-2 15:11

Api没有上没有加验证这个也能洗

作者: meltifa 时间: 2014-9-2 15:16

posted by wap, platform: Chrome
我来总结下楼主发言

第一不是苹果的错
第二不是苹果的错
第三不是苹果的错
第四不是苹果的错

a 安卓是傻逼
b 安卓是傻逼
c 安卓是傻逼

作者: 雾桑 时间: 2014-9-2 15:19

posted by wap, platform: iPhone
楼主你去跟被泄露照片的明星们普及去，看人家会不会用口水把你淹死。

作者: Vimrise 时间: 2014-9-2 15:30

苹果是最安全的

作者: fjfyla 时间: 2014-9-2 15:34

苹狗自干五虚拟内存同性恋大婶主动洗地被抽脸

作者: chronicle1st 时间: 2014-9-2 15:39

国内就算个小网站你多次输错密码都会弹验证码防止爆破。

按ff大大的逻辑，国内三流网站都做得比苹果好，那苹果到底是哪一档啊，2333

作者: 俗人 时间: 2014-9-2 16:13

posted by wap, platform: 华为荣耀3C

引用:

原帖由 @chronicle1st 于 2014-9-2 15:39 发表
国内就算个小网站你多次输错密码都会弹验证码防止爆破。

按ff大大的逻辑，国内三流网站都做得比苹果好，那苹果到底是哪一档啊，2333

这个例子举得好。这种错误不该犯，尤其是高利润并标榜自身安全的苹果

作者: k00790 时间: 2014-9-2 16:37

竟然是暴力破解啊。神了。

作者: 我不懂 时间: 2014-9-2 16:57

当我今天得知具体手法之后我都不洗地了。。。楼主这属于自残吧？

作者: royhimura 时间: 2014-9-2 17:02

常个JB，真把水果当世界了，谁tmd关心啊

作者: zichuanle 时间: 2014-9-2 17:02

posted by wap, platform: Chrome
不管安卓还是WP谁好，反正退果就是保平安~

作者: ccwithsophie 时间: 2014-9-2 17:20

不限制密码尝试次数这种漏洞也能洗地。。。果粉也是屌。。

作者: ff_cactus 时间: 2014-9-2 18:46

posted by wap, platform: iPhone

引用:

原帖由 @ccwithsophie 于 2014-9-2 17:20 发表
不限制密码尝试次数这种漏洞也能洗地。。。果粉也是屌。。

知道OpenSSL和printf的漏洞是多么低级吗？少见多怪的。说到底还是文化水平不够。
真要那么容易发现的话前几年早就暴露了，我估计是当前版本临时引入的。

作者: ff_cactus 时间: 2014-9-2 18:55

posted by wap, platform: iPhone

引用:

原帖由 @meltifa 于 2014-9-2 15:16 发表
我来总结下楼主发言

第一不是苹果的错
第二不是苹果的错
第三不是苹果的错
第四不是苹果的错

a 安卓是傻逼
b 安卓是傻逼
c 安卓是傻逼

总结得很好，我没白打字。

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)