这是一个创建于 3367 天前的主题,其中的信息可能已经有所发展或是发生改变。
RT
MAS 上安装的 QQ 和官网上下载的 QQ App 拖进 SandboxInfo 看了下权限是一致的,而迅雷这样的程序则没有沙盒。
除了沙盒以外,官网下载的 QQ App 还会有其他风险么?
因为看到很多人表示不装官网的版本,一定要安装 MAS 的版本所以发问。
 |
1
honeycomb 2015-09-05 16:42:37 +08:00
猜测是这样:
1 ,在 MAS 装的软件不能不用 sandbox 2 ,风险不可控,这年头就算是有数字签名的大公司的软件也是会(通过使用高级别的权限)做坏事的: 常见的是 Windows 下那种全家桶的做法 3 ,在 MAS 获得的软件遇到这种风险会小很多: 一个是 sandbox ,另一个是真出点事情(以前也有发现过 OSX 的穿沙漏洞)MAS 还可以下架 Windows 也有类似的 AppContainer ,但是 1 ,不能指望那些桌面软件会自觉用上 AppContainer 2 , Windows store 只发行 UWP 应用 |
|
2
honeycomb 2015-09-05 16:46:15 +08:00
@phoenixlzx
我估计 LZ 提到的两个 QQ 是一致的,使用了相同级别的沙盒限制 但是可能保证不了两件事: 1 ,未来的从官网下载的 QQ 是不是继续使用沙盒? 2 ,访问到的官网真的是官网吗(腾讯的页面目前没有 Google 那样全盘 HTTPS 化),而这几年运营商都在积极(现在已经是常态)地干扰链路,做劫持等等 或许是它们觉得既然墙可以那么做,它们也可以在国内流量这么做 |
 |
3
phoenixlzx OP @honeycomb 说明下
1. 官网下载的 QQ 版本也是有选项「仅在 AppStore 有新版时通知我」而且是默认勾选的 2. 我用的是自建的反污染 DNS ,浏览器上网一律走自建的加密,走的是商用线路而且访问国内站不过墙 所以在确认官方下载的 QQ App 也是使用了沙盒的情况下,还有什么其他的风险。 不用提 Windows 的事情, Windows 还隐藏了部分信任证书呢。 |
|
4
honeycomb 2015-09-05 17:37:58 +08:00
@phoenixlzx
可以当作没风险 毕竟如果对腾讯的信任太低的话 连“「仅在 AppStore 有新版时通知我」”这样的陈述也没什么意义了 因为,如果这个陈述不可信的话,那么“所以在确认官方下载的 QQ App 也是使用了沙盒的情况下”,它可以违背陈诺,去下载一个不用沙盒的版本,或者再厉害点,用社工 /漏洞往系统里装两个病毒;再甚鹅场直接用储存在它那里的数据干坏事不就行了 我们希望用 sandbox 的原因,还不是因为国产软件的信誉不好导致的么: 流氓软件,全家桶 鹅厂(和 360 打架那会)和支付宝(降低用户方面的控制性)的服从性训练 何况就算是官网下载的 QQ ,要做点(像 Windows 那样装个劫持驱动等)坏事得先提权,不是么 就算做了坏事,看样子 LZ 肯定也有足够多的后备应对 |
 |
5
moooookey 2015-09-06 11:13:42 +08:00
你所有的聊天记录都放在人家那里了,这点信任都没有,还用啥了
|
|
6
phoenixlzx OP |
Select Language