Yahoo! Axis 私钥泄漏

  • Alex Blewltt
  • 张龙

2012 年 6 月 28 日

话题:安全Chrome语言 & 开发

近日,Yahoo 发布了一个名为 Axis 的新 Web 搜索平台,该平台提供了在多种浏览器上一致的搜索体验。其浏览体验实际上是由一套 JavaScript 扩展实现的,该扩展可以安装到多种浏览器上(比如说 iPhone 或 iPad 应用以及桌面浏览器)。

Axis 提供了一个搜索框,在输入时会进行搜索反馈,这对于过去几年中使用 Google 的用户来说是非常熟悉的。搜索结果可以逐条显示,同时搜索条目的图片或是缩略图的显示方式会让人联想到 Apple 的 Coverflow 或是微软的 Windows Mobile Grid。

axis.yahoo.com的站点几乎没有提供任何信息,只是提供了一个视频用以说明其功能。

有些人将其称作“浏览器”,但严格来说这并不准确;它并不会替换掉浏览器需要处理的任何渲染内容。它所做的事情只是让你可以通过关键词进行“浏览”(即搜索),非常像Yahoo! Directory!,但采用了图形化的预览。

除了面向移动站点的应用外,还有一个可以安装到桌面浏览器(如 Safari 和 Chrome)上的扩展。但遗憾的是,对于开发者来说,用于签名 Chrome 扩展的私钥放在了扩展本身当中,这意味着现在任何人都可以对 Chrome 签名,声称来自于 Yahoo! 并且将其发布到 App Store 上。

基于此,现在推荐的做法是不要在浏览器上安装任何由 Yahoo! 签名的扩展,直到 Google 发布更新取消泄漏的私钥为止。关于此次泄漏的更多信息可以参见nikcub.appspot.com,此外GitHub 仓库上有一个概念验证示例。私钥则在这里

查看英文原文:Yahoo! Axis! Of! Incompetence!

安全Chrome语言 & 开发