||
中国计算机学会青年计算机科技论坛(YOCSEF)
2009年6月18日
2009年5月19日,工业与信息化部发布了《关于计算机预装绿色上网过滤软件的通知》(工信部软【2009】226号文),要求在国内销售的计算机全面预装名为“绿坝-花季护航”的软件,在国内外引起了较大反响,对该软件的安全性、功能和性能等方面提出了诸多质疑。
2009年6月15日-17日,中国计算机学会青年计算机科技论坛(YOCSEF)组织相关专家对“绿坝-花季护航”软件进行了技术分析,初步分析结果如下:
1.安全性
该软件的初始发行版本在处理过滤url时存在一个可被攻击的缓冲区溢出漏洞,使得安
装该软件的计算机系统在访问恶意网站时能够被黑客控制。(目前的版本已修复该漏洞,但版本号未变)。
此外,该软件通过网络更新,更新网站本身可能存在的安全漏洞也是潜在的重要安全隐患。
2. 功能漏洞
2.1 加密机制
对屏蔽文件列表采用的加密方法过于简单,该列表易被破解。
2.2 对IP地址的过滤功能
该软件在实现过滤功能时仅能对使用域名方式的网络访问加以过滤,对该域名对应的IP
访问不能有效过滤。例如:
http://www.battle.net/ (会被屏蔽,如果开了暴力游戏的话,默认是开的)
http://12.129.242.40/ (不会被屏蔽)
3. 性能问题
该软件图片过滤功能的实现方式是:过滤器从远程重新下载图片,然后对过滤器下载的图片进行分析,这使得任何正常的图片都会被下载两次。而且软件不支持缓存,使得对同一图片再次请求时,仍需再次从网络上下载。这种实现方式将大大增加用户浏览时的网
络带宽需求,而且对用户的浏览体验具有较大的影响。
4. 基本结论与建议
当前的绿坝-花季护航软件尚不是一款成熟的软件产品,还不具备进行大规模安装和部署所需的软件质量。本软件现有版本大规模安装后对我国的网络安全将产生较大的潜在风险。YOCSEF将继续组织专家对该软件进行分析,并通过相关渠道报告相关的安全风险与功能问题。
建议软件开发商对软件进行进一步完善,并通过广泛的第三方软件安全性、功能与性能
Archiver|手机版|科学网 ( 京ICP备07017567号-12 )
GMT+8, 2024-7-23 10:28
Powered by ScienceNet.cn
Copyright © 2007- 中国科学报社