Mozilla 中文社区网志

下载地址：http://www.mozilla.org/projects/xforms/#HowDownload

我已经安装试用！异常兴奋。

终于可以抛开插件在主流浏览器上获得native的xforms支持了！

从今天起，我可以进入xforms的实战开发阶段了！

devedge.netscape.com当掉多年了，对于web开发者来说是极大的损失（文档本来就是m$的强项，devedge的消失令得msdn更加变成了事实标准）。虽然mozilla组织一再向AOL协调，但久拖未决。

最近的mozillaZine刊出文章“Mozilla Foundation reaches an agreement with AOL on DevEdge content”，使得我们终于看到了曙光。DevEdge可能以DevMo之名复活，并且不再由netscape来host，而由mozilla组织名正言顺的接手。同时，Deb Richardson加入Mozilla作为fulltime的Tech Editor和DevMo的Project Manager。可以预见，在未来几个月里，不仅原有的DevEdge将复活，Deb还将带领大量的志愿者改善Mozilla的最大软肋——文档。这将是所有web开发者（可能除了M$的坚定追随者）所乐见的！

2月24日，Mozilla基金会宣布了一个Firefox1.0.1的升级版，该版本主要是进行了一些安全更新，提高了稳定性，另外就是在国际域名（IDN）的处理上，缺省仍为允许，但在地址栏中，对Unicode域名以punycode代码显示。如果不需要这个特性，继续以unicode字符显示，可以自己关闭它：

在about:config中，把network.IDN_show_punycode设为false即可。

这种国际域名的处理可参考RFC3492，已经被多国采用，包括日本和韩国。

比如“日本.jp”这个域名，可以被firefox正确地解释为：xn–wgv71a.jp。其中xn–是前缀。

据spreadfirefox报道，2月15日，Firefox 1.0的下载量超过了2500万，距离该软件发布只有99天。可喜可贺！

现在，做网站，尤其是想面向全球的，可要想一想，是否愿意放弃2500万潜在受众？当然，实际数字很有可能超过这个数字。

这里，还可以看看其他人快乐浏览的例子。

作者： CNET科技资讯网
CNETNews.com.cn 2005-02-16 09:2 AM

CNET科技资讯网2月16日国际报道 美国太平洋时区时间本周二，微软公司宣布，它将在发布新版Windows 操作系统之前发布独立的升级版IE浏览器。这一计划改变了微软公司一贯坚持的IE与新版Windows 操作系统同步发布的政策。

微软的首席软件设计师盖茨在“RSA Conference 2005 ”上公布了在今年夏季发布测试版IE 7的计划。微软曾经多次表态，在明年发布代号为Longhorn的新版Windows 之前不会发布新版IE。

在公布这一计划时，盖茨承认，一段时间以来，许多人士和公司一直认为，IE本身已经成为一个危险源。他说，浏览已经成为一个攻击点。盖茨说，新版IE浏览器将运行在安装有Windows XP SP2的计算机上，他预计将在今年夏季发布新版浏览器的测试版本。

分析人士认为微软态度转变的原因在于Firefox 浏览器的“节节胜利”。去年晚些时候的一项调查显示，Firefox 已经使得IE的市场份额自1990年代的浏览器大战以来首次跌到了90% 以下。

NPD 集团的分析师罗宾说，我认为这是对Longhorn延期以及Firefox 挑战的反应。如果没有Firefox 的成功，微软可能会仍然坚持随同Longhorn发布新版IE。

微软选择在一次以安全为主题的会议上宣布发布IE 7的计划绝非偶然。多年来，受一长串安全缺陷、钓鱼式攻击和补丁软件的影响，IE 6在安全方面的声誉已经江河日下。

微软去年发布了Windows XP SP2，试图减轻人们在安全方面的担心。但批评者认为，SP2 只有利于已经在使用Windows XP或购买了微软操作系统升级服务的用户，而约半数的Windows 用户则被抛弃了。

微软在本周二也承认了用户的这种抱怨，尤其是Windows 2000企业客户。微软IE开发团队的负责人迪安在IE日志中写道，目前，我们的重心是XP SP2。我们正在积极地听取广大Windows 2000客户的需求。

但IE 6已经招致开发人员的不满，并不仅仅因为它在安全方面的不足。Web 开发人员一直在抱怨微软对多种Web 标准蹩脚的实现，其中包括CSS 、PNG 图形格式、XHTML 和XML.随着微软改变态度而发布新版IE，Web 开发人员对它能否解决这些问题以及安全问题持怀疑态度。

在回复迪安的贴子时，Web 设计人员布雷迪表示，你们发布的信息都声称你们遵守了现代编程惯例，但其中包括XHTML 、CSS 、XML 、PNG 吗？除了安全问题外，这也是我们不在公司中使用IE的原因，我可以开发面向所有用户的互联网应用程序，或者开发面向IE用户的互联网应用程序，我们再也不想浪费资金同时开发二种应用程序了。

作者： techrepublic.com.com
Wednesday, February 16 2005 10:57 AM

Sun已经披露了关于它的Java Plugin软件的一个严重安全隐患的有关信息，这一隐患将会影响许多浏览器和操作系统。

最近发现的Sun Java Plugin的一个安全漏洞将威胁到许多的Web浏览器，比如Mozilla, Firefox, 以及IE，同时这一漏洞也将对许多操作系统带来威胁。

具体细节
关于Java Plugin 的这一严重漏洞，Sun的说明是：“Java Plugin的一个漏洞可能允许未被信任的JAVA小程序提升自己的权限，通过JavaScript执行Java代码，从而以合法用户的权限对某些文件进行读写操作。”

这个漏洞是与平台无关的，可能影响到任何安装了有问题Java版本的系统。

关于这一漏洞进一步的信息，Sun请IT专业人士查阅Mitre CVE CAN-2004-1029。不过，CVE中的内容通常没有什么有用的信息，还是Sun自己的网页更有帮助一些，但是你想找到相应的网页却是很困难的。

要查阅2002年11月以后Sun承认的Java漏洞，Sun建议去它的“危险通告网页”（ Sun Alert Notifications page）。不幸的是，该页只是一个搜索链接。当你点击该页左册的“补丁”或“安全信息”的链接时，你得不到有关当前开发的任何信息。

该页的搜索引擎也没有太大的帮助。比如，如果你搜索“SDK”，显示的最新漏洞是２００３年５月发布的。如果搜索“JVM”，可以显示出今年７月和９月发布的漏洞，但是没有最近的漏洞信息。你搜索“Java”也是类似的结果。

最新的Java漏洞是和“沙箱”有关，本来“沙箱”是为执行Java代码提供安全环境的。如果你知道这个漏洞的一些细节，并且搜索“Java 沙箱”，你得到的报告中最早的还是１年多以前的。

只有当你点击“浏览文档”链接并且选择Sun危险通告时，你才能找到有关最新漏洞的信息。

Java Plugin的JRE 和SDK的最新漏洞信息是文档５７５９１（document 57591），发布时间是２００４年１１月２２日。（作者评论：这个漏洞最近主要是由其它的媒介渠道进行公布的，当你看到这篇文章时，Sun的网站上相应的链接可能已经比较显著了。）

涉及范围
这个漏洞影响Solaris，Windows，和Linux平台的Java的软件开发工具包（SDK）以及Java运行环境。按照Sun的说法，“JDK 和JRE 5.0”不受影响，但是，SDK和JRE1.4.2_05及较早版本，所有的1.4.1和1.4.0版本，1.3.1_12及较早版本，都将收到影响。

危险等级——严重
该漏洞允许攻击者完全绕过Java的安全设置。更严重的是，我猜想绝大多数的用户和安全管理员完全不了解该漏洞，他们或者不知道要转换系统的Java虚拟机（VM），或者不知道要升级他们的Java代码。因此，该漏洞可能会在许多机器上存在一段时间，它存在的时间越长，它就越严重。

修补措施——升级或者禁用Java
Sun的报告说，该漏洞没法修复，也没有变通的办法。你需要升级你的系统到更新的版本来避免这个漏洞。Sun说，SDK和JRE 1.4.2_06及更新的版本，SDK 和JRE 1.3.1_1及更新的版本都是安全的。

尽管Sun没有说变通的办法，其他人指出了一个明显的变通之法：在你的浏览器中禁用Java将完全避免这个漏洞。

最早把这个漏洞通知Sun的iDEFENSE，建议了几种变通方案，其中就包括禁用Java或者禁用JavaScript。你还可以使用非Sun的Java虚拟机（JVM），如微软的Java虚拟机（VM），它不受该漏洞的影响。

Java的安全性
如果你认为Java是相对安全的，我建议你查阅一下普林斯顿大学计算机系的网站。他们在Java虚拟机和许多版本的Java软件开发工具包中，发现了大量的漏洞。作为一个独立的Java安全检测机构，普林斯顿大学的“安全的互联网项目组”（Secure Internet Programming Team）把原先的一个FAQ（常见问题解答）公布到了网上。但是，关于最新的危险评估和安全技巧，你可能想要查阅Sun自己的“Java程序安全问答” （ Java Applet Security FAQ）。你也可以查阅Sun的按时间顺序编排的“安全漏洞表”，但你从那得不到任何当前的信息。

结束语
厂商们总是批评发布漏洞信息的安全公司，但你却总能从安全公司的网站上找到比厂商的网站上更详细的关于漏洞的信息。这个现象不是很有趣吗？厂商们在他们的网站上为用户和管理员放上了有关最新的安全威胁的链接了吗？我只是因为好奇和不知道谁这样作过而提出这个问题。当许多IT人士听说了一个新的安全漏洞后，他们发现自己必须成为一个搜索专家才能在网上找到关于该漏洞的可靠信息。我猜想，面对这种状况，他们是非常沮丧的。

在这个例子中，iDEFENSE在2004年6月29日把这个漏洞向Sun做了通报，并且直到2004年11月22日才对外公布。毫无疑问的，他们的行为表现出了很高的职业道德。Sun也称赞他们发现了这个漏洞。但是，不知为什么，有些奇怪的是，在iDEFENSE的网站上比Sun自己的网站上有更多的关于该漏洞的细节和分析。

在这件事上，我之所以指责Sun是因为它的CEO—Scott McNealy经常在一些会议上批评微软并且谈论Java比微软的产品如何更安全。

据报道，盖茨已经在旧金山的RSA安全大会上表示：“我们已经决定推出新版IE–IE 7。”先前并没有任何迹象表明它将发布新版本的IE。

据盖茨称，新版IE浏览器将于今年夏天时发布初步测试版。它且有防病毒、间谍软件和钓鱼软件等愚弄用户的功能。另据JP摩根的分析师称，新版浏览器还包括诸如查看头条的功能，这些功能能提升同Firefox等进行竞争的能力。

分析人士都说这是因为其他浏览器的强力竞争所带来的结果。不知道算不算Firefox的功劳？

大约在一周以前，互联网上流传着一条新闻：黑客可借助IDN缺陷“钓鱼” 微软IE侥幸躲过。引述一些相关资料，希望能澄清一些问题。

IDN是Internationalized Domain Name(国际化的域名)的简称，指的是包含非 ASCII 字符的域名。比如一些包含声调的西欧字符，或者是像中文、日文这样的双字节字符所组成的域名。因为有很多这样的字符和英文字符非常相似(比如 а 和 a)，攻击者就可能注册与某些网站(比如paypal.com)非常相似的国际化域名(比如paypаl.com)，伪造网站来欺骗网民。

因为现有的 DNS 体系无法解析国际化的域名，这一任务便落在了应用程序(比如浏览器)的身上。应用程序根据一定的规则把域名中的非 ASCII 字符转化为现有 DNS 体系能够处理的字符，比如 paypаl.com 经过转化实际上变成了 xn–paypl-7ve.com。如果浏览器实现了 IDN 解析，则访问 paypаl.com 实际上是访问 xn–paypl-7ve.com，但浏览器的地址栏里显示的地址仍然是 paypаl.com，这(在某些字体下)和 paypal.com 非常相像。这便是问题所在。

IDNA 定义于 RFC3490 中，常见的大部分浏览器(包括Mozilla, Mozilla Firefox，Camino, Opera, Safari等等)都有实现这一功能，唯独 IE 没有。这正是为什么单单 IE 侥幸躲过 IDN 欺骗的原因。

在此问题被发现之后的六个小时，Mozilla 社区便有了一个临时的解决办法。开源社区解决问题的速度总是令人信服。

附：测试方法
如果你的浏览器访问 paypаl.com 和 xn–paypl-7ve.com 得到相同的内容，你就需要注意 IDN 欺骗了。
参考1：http://secunia.com/advisories/14163/
参考2：http://www.shmoo.com/idn/

btw: Debian 用户总是很幸福，最新的 Firefox/1.0 (Debian package 1.0+dfsg.1-6) 已经解决掉此问题了。