原文中，提到移除高風險憑證的作法，但其實我相信很多人弄不懂不同平台的作法，也不清楚所謂 NSS 的機制，沒有清除系統憑證，只是試圖移掉 Firefox 中的驗證。所以很多使用者不知道自己是否真的移除，或是以為移除，重新開啟 Firefox 後，因為 NSS 的設計，憑證又自動建入資料庫中。

依照目前的討論 (#542689, #476766)，Mozilla 應該採無罪推論原則。也就是說雖然 CNNIC 的風評不佳，但在它實際作惡前，我們理因相信它無罪。雖然有一些技術上的提議，希望可以降低憑證管理的問題跟風險，但是這些功能恐怕需要點時間才會實踐。

所以，短時間內，使用者還是得自己做一些設定來自保。但是前文步驟又十分繁雜，我們需要給使用者一個比較簡單的操作措施。

在香港朋友 Benlau、小兔黑黑 的倡議與支持下，我們寫了一個小 Firefox 附加元件，稱為 Cert Alert，這個元件的功能是「自動提醒」使用者，網頁中使用了特定 SSL Root CA 的內容。

這個附加元件採 MPL 1.1 授權釋出。你可以於 Firefox 附加元件網站下載安裝。開發者可於 Github 取得完整程式碼或提供建議。

另外一個值得推薦的是 timdream 所開發的 CA Untrustworthy。這個附加元件的功用是每次開啟 Firefox 時，自動移除或關閉高風險憑證。如此，若瀏覽使用高風險憑證網站時，Firefox 就會提醒你這是未受信任網站，你可以依照 Firefox 的憑證驗證機制來允許或關閉網頁。所以你就不用擔心，是否因為沒有完成移除系統憑證而造成安全問題啦。Tim 的 CA Untrustworthy 亦擺於 Github.

銘謝: Littlebtc 提醒 CertAlert 0.0.4 版前之 MITM 問題。
備註: 中國朋友亦開發一 NoCNNIC 工具，可移除 Windows 平台的 NSS database 中 CNNIC 憑證。惟只支持 Windows 平台，且必須手動執行才可移除。僅供參考。

原來，計算一週之始有好幾種方法，例如

• 1/1 日開始一定算第一周。
• 不管 1/1，從一年的第一個星期天開始算第一周。
• 不管 1/1，從一年的第一個星期一開始算第一周。

像是波斯灣阿拉伯國家是週六開始算第一周，巴基斯坦跟愛沙尼亞是把 1/7 當作一年開始來計算。即便是上述的幾種方式，在同一個國家內也有不同的偏好阿。像我的行事曆就是 1/1 開始當作第一周，而我的電腦則是把週日開始算為第一周。兩個相較起來就差了一週。

在 Linux 上，其實 en_US 跟 zh_TW 兩種不同的語系設定，開始週數是不同的。en_US 使用的是 1/1 開始那周算第一周，而 zh_TW 則是設定成第一個週一是第一周。用 ncal 看起來像是這樣

$ LC_TIME=en_US.UTF8 ncal -w  1 2009
    January 2009
Mo     5 12 19 26
Tu     6 13 20 27
We     7 14 21 28
Th  1  8 15 22 29
Fr  2  9 16 23 30
Sa  3 10 17 24 31
Su  4 11 18 25
    1  2  3  4  5

$ LC_TIME=zh_TW.UTF8 ncal -w  1 2009
    一月 2009
一     5 12 19 26
二     6 13 20 27
三     7 14 21 28
四  1  8 15 22 29
五  2  9 16 23 30
六  3 10 17 24 31
日  4 11 18 25
   52  1  2  3  4

上述的算法，時常造成同一周被定義兩次，他可能是去年的 53 周，又是今年的第 1 周。這樣很容易造成困擾。

為了避免這種糾紛產生，其實有一份 ISO 8601 定義了週數的算法。ISO 8601 除了制定時間字串的格式之外，也定義了週數的計算方式。規則稍微複雜一點，但是是為了避免一個周被計算兩次。

ISO 8601 的計算方式是

• 包含第一個週四的算第一周。
• 包含 1/4 的那一週。
• 第一週超過四天以上。
• 12/29 後的第一個週一。

詳細算法請見 ISO Week Date。你在 Linux 上，可以用 date 指令查到以下依照週一、週日、ISO 算法的週數

$ date +"Sunday %U Monday %W ISO %V" -d '2010-01-01'
Sunday 00 Monday 00 ISO 53
$ date +"Sunday %U Monday %W ISO %V" -d '2010-01-03'
Sunday 01 Monday 00 ISO 53
$ date +"Sunday %U Monday %W ISO %V" -d '2010-01-04'
Sunday 01 Monday 01 ISO 01

但是很多時候，要求人家去爬文其實是很難實踐的，因為論壇流量極大，即便告知了標題、作者，很多時候可能還是要翻找很久。另外一個問題是，如果你想引用特定 E-Mail, 只能要別人回去翻閱你以前寄出的信件，這樣對方很難找到原始引據信件。即便你想讓人參閱，你也無法把特定的信變成 hyperlink，公開在網路上讓人點閱。

其實，根據 RFC2392 的定義，每一封電子郵件標頭裡，都藏有一個單一的 Message-ID。每一封信都有，而一些線上郵件軟體如 Gmail，支援搜尋 Message ID，你可以把 Message ID 輸入搜尋欄位，就可以快速找到原始的討論串。在應用上，你也可以代入搜尋網址，如 Gmail 則為

https://mail.google.com/mail/?shva=1#search/[MessageID]

只要給對方這樣的網址，他就可以找到原始的郵件。無論是藏在那一個目錄/標籤中。新式的電子郵件軟體，也可以讓你跨目錄的搜尋 Message Id，有了參照，要找到原始郵件應該比透過標題找來的快。

另外一個在網路上嘴砲溝通時常用的功能，是引用開放論壇的存檔。若你打開郵件翻閱 Header 的話，會看到一些隱藏的資訊。以 Google Groups 為例子，你會看到 X-Thread-Url, X-Message-Url 等。這兩個網址，就是線上網頁版本的存檔。你可利用這兩筆資訊提供給其他人作為引據連結。

其他的一些郵遞論壇工具，也有自己的 Archive URL，不妨開啟來翻閱。現雖有 RFC5064 之定義，但是大家似乎還是各作各的。

Happy Flame War!

這是一篇 Tips.

驅動程式預設的速度、靈敏度都太低，推一陣子手指就累了，也無法按著中鍵移動小紅點來捲動視窗。不甚好用，稍做一些設定的筆記，作為未來參考。

在 GNU/Linux Debian/Ubuntu 上有數種機制可以更改小紅點設定，若是新手使用，大概會被 sysfs, udev, hal, DeviceKit, pm-utils, xorg.conf, xinput 等術語搞得一頭霧水。你若不想弄懂這些難解術語，也不想更改 xorg.conf，最快的作法是以 sudo 在虛擬終端機執行以下指令

#!/bin/sh
# 游標速度，可調整數值。大為快，小為幔
echo -n 120 > /sys/devices/platform/i8042/serio1/speed
# 靈敏度，最高應為 255
echo -n 250 > /sys/devices/platform/i8042/serio1/sensitivity
# 按小紅點為選取，1 為啟用，0 為關閉。
echo -n 0 > /sys/devices/platform/i8042/serio1/press_to_select

xinput list-props '"TPPS/2 IBM TrackPoint"'
xinput set-int-prop '"TPPS/2 IBM TrackPoint"' 'Evdev Wheel Emulation' 8 1
xinput set-int-prop '"TPPS/2 IBM TrackPoint"' 'Evdev Wheel Emulation Button' 8 2
xinput set-int-prop '"TPPS/2 IBM TrackPoint"' "Evdev Wheel Emulation X Axis" 8 6 7
xinput set-int-prop '"TPPS/2 IBM TrackPoint"' "Evdev Wheel Emulation Y Axis" 8 4 5
xinput set-int-prop '"TPPS/2 IBM TrackPoint"' "Evdev Wheel Emulation Axes" 8 6 7 4 5
xinput list-props '"TPPS/2 IBM TrackPoint"'

這些指令可以幫你把 TrackPoint 的速度、靈敏度調高，並驅動中鍵模擬滾輪功能。頭三行 echo 指令需以 root 權限執行，你可自行調整偏好的數值。後面幾行 xinput 指令，必須在 X 視窗下執行。(意即，你不能拿到 console 下面來跑)

這些指令每次重開機或休眠後都需重新執行一次。你若嫌麻煩，目前最簡易的設定機制應該是寫成 udev rules，作法以 root 執行指令如下

# cat > /etc/udev/rules.d/90-trackpoint.rules <<EOF
# SUBSYSTEM=="serio", DRIVERS=="psmouse", ATTR{press_to_select}="0", ATTR{sensitivity}="250", ATTR{speed}="120"
DEVPATH=="/devices/platform/i8042/serio1", ATTR{press_to_select}="0", ATTR{sensitivity}="250", ATTR{speed}="120"

ACTION!="add|change", GOTO="xorg_trackpoint_end"
KERNEL!="event*", GOTO="xorg_trackpoint_end"

ENV{ID_PATH}!="platform-i8042-serio-1", GOTO="xorg_trackpoint_end"

ENV{x11_options.EmulateWheel}="1"
ENV{x11_options.EmulateWheelButton}="2"
ENV{x11_options.XAxisMapping}="6 7"
ENV{x11_options.Emulate3Buttons}="0"

LABEL="xorg_trackpoint_end"
EOF

這段程式碼，參考 ThinkWiki 網站。理論上，會在你開機以及重休眠模式啟動時，自動套用小紅點速度設定與模擬滾輪設定。

實際上，因為一個已知的 #549379 udev/kernel 問題，滑鼠的速度設定無法自動套用。暫時可以先用前段的 echo/sysfs 方式解決。

這是一篇 Tip.

BeEF 整合 Metasploit 等知識庫與工具來查找各種瀏覽器的漏洞，只要你將代碼塞到受害者可能讀取的網頁，就可以即時看到對方瀏覽器版本，以及可能的入侵方法，甚至可以利用 BeEF 線上即時送出一些指令，直接侵入對方主機。

目前 VMAX 提供的 USB WiMAX 網路卡是 TECOM 的 WM5123M-2G5. 網頁上註明只支援 Windows 作業系統。基於好奇的心理，也跟朋友借了網路卡來玩一個禮拜，在北市的古亭、公館一帶試用，上下傳速度都還不錯。

不過自己比較感興趣的是否有 Linux 的驅動程式。稍早的測試是在 Linux 上，透過 VirtualBox 跑 Windows 來連線。實際上並未能在 Linux 上直接使用該網路卡連線。

查了一下知道這款設備使用 GCT 的解決方案，應該是 GDM7205，日本的 MODACOM 也利用此晶片開發了 UD01SS/UD03SS/MW-U2510/BDSS01 等產品。其中 UD01SS 也是日本 UQ WiMAX 搭售的產品之一，在 UQ WiMAX 的產品網頁上，其實也提供 Mac OS 的驅動程式。所以你若使用 Mac OS, 或許可以在此找到可用的驅動程式。

根據我的紀錄，UD01SS 使用的 USB 產品編碼 (vendor id, product id) 為 1076:7f40 或 1076:7f00. 如果開發商/製造商連編碼都懶的改的話，八成驅動程式也可共用。 只是 Connection Manager 不知道能不能讓你認證/連上不同的 ISP 就是。

至於 Linux 下的使用，經過測試已經可以利用 usb_modswitch 來將初始的 ZeroCD (含有 Windows 驅動程式) 模式改為 Network 模式。不過仍缺了連線用得工具與相關的 userland 程式，所以暫時間還是無法使用。

目前開放原碼的 WiMAX 支援，只有 Intel 釋出的 Linux WiMAX Software Stack。其中最重要的用以認證的 Supplicant 暫時還無法是開放原碼。因此若要讓開源社群使用，必要得有 Supplicant 的支援才行。

另外一點，現有 WiMAX 晶片供應商如 Beceem, GCT, Sequans, Runcom 等，據聞所使用的 Driver Software Stack 都大不相同。因此恐怕未來若要整合不同的網路卡驅動程式，會有陣過渡期。

目前社群中，除了 Intel 的驅動程式外。另外一個相對開放原碼的是 Samsung 所製造的網路卡，已有一針對 Samsung 網卡所反組譯的 madWiMAX 軟體計畫。

GCT/TECOM 疑似違反 GPL 授權

另外在追查可能的驅動程式資訊時，macpaul 告知他發現 Winodws 安裝目錄中，包含了一個神秘的 Image 檔案。疑似包含 Linux 核心與相關程式，在驅動時傳到網卡上執行。

手癢稍微追蹤了一下，發現內部的確包含了一組 linux kernel 與一組 cramfs 的 rootfs. 再往裡面翻進去發現 busybox 與一應為處理 OMA-DM 功能的私有軟體。

根據 VMAX 發給消費者的資料中，並沒有任何書面資料或電子檔說明內含 GPL 原始碼一事。相關發現已經先行發至 gpl-violations.org 的 legal 郵遞論壇。目前對此事件暫無進一步計畫。

基本上，鼓勵各種軟體開始移植到 IPv6 網路上是一件好事。Java runtime 若在 dual-stack 的機器上，預設走 IPv6 位址，因為 IPv6 位址可同時走 IPv4/IPv6 網路。不過問題在於，若一般的 GNU/Linux Debian, Ubuntu 系統，預設會啟動 IPv6 介面，無論你所在網路是否有 IPv6 路由。

於是，你若在 Linux 上使用一些 Java 寫成的網路軟體，如 JDownloader 等，很有可能發生軟體運作後，卻什麽地方都連不上的症狀。解決辦法一是關閉 IPv6 網路功能，一則是利用 JRE 的參數，改為預設使用 IPv4 網路。

檢查 IPv6 是否驅動

首先，你若想確認是否開啟了 IPv6 網路，可於終端機下使用此指令判斷

$ ip addr|grep inet6

若出現了 inet6 之位址，即為開啟了 IPv6 網路。

你若想快速的關閉 IPv6 功能，可以利用 root 執行 ip 指令，直接刪除 inet6 位址

/sbin/ip addr del <ipv6address>/<prefixlength> dev ethX

舊版核心

在舊版核心，IPv6 功能是以模組方式存在，妳可以透過更改 modprobe (module-init-tools) 的設定，讓系統不載入對應驅動程式。關閉的方式很簡單，請修改 /etc/modprobe.d/ 之設定，如以 root 執行以下指令

# cat > /etc/modprobe.d/00local.conf <<EOF
alias net-pf-10 off
alias ipv6 off
EOF

更改之後，重新開機即可關閉 IPv6 功能。

新版核心

在新版的 Debian/Ubuntu 中使用 2.6 核心，因為內建 IPv6 驅動程式, 你得利用開機參數 (cmdline) 關閉之。作法是修改 /etc/default/grub 檔案，更改 GRUB_CMDLINE_LINUX_DEFAULT 一行，加入 ipv6.disable=1，如

GRUB_CMDLINE_LINUX_DEFAULT="ipv6.disable=1 quiet"

修改完畢後，請用 root 執行 update-grub 後，重新開機。

JRE 參數

另外一項作法是更改 JRE 參數，你若知道啟動該軟體的 shell script 位於何處，可新增一參數如下

$ java -Djava.net.preferIPv4Stack=true Main

這樣就可以要求 JVM 預設使用 IPv4 stack.

這是一篇 Tips.

修訂紀錄 (20100207): 補充利用 iproute 關閉 ipv6 方法，說明新舊版核心處理方式。

目前此事已經在 Mozilla Security Policy mailing list 公開討論，在華人網路社群也引起一陣騷動。像是 AutoProxy 等社群都提出 CNNIC CA：最最最嚴重安全警告！。在原提案 #476766 中亦有人整理了一些客觀事實。

不過根據我主觀的看法，奉勸所有人盡快移除 CNNIC 相關的 CA 憑證！CNNIC 就是中國網際網路絡信息中心，是一個中國的非營利組織，提供中國網際網路的網域名稱、網段管理。

CA 憑證對於瀏覽器使用者而言，可以用來辨識特定網域是否為合法組織，部份瀏覽器功能甚至依據有否憑證，對網頁開啟進階存取權限。前提是 CA 維持善良管理人義務，嚴格管理所核發的憑證、簽章。

CNNIC 過去最大的爭議即是曾經發布過中文上網官方版軟體，名為提供中文網址導引服務，實質則包含流氓軟體的功能，主要功能是一般輔助上網軟體，但核心卻用 rootkit 技術讓你無法刪除，與木馬/病毒程式一般。雖說這只是一項前科，但是中國政府持續拿著民族主義、國家安全為藉口，實施數種網路管制，甚至滲透國外企業、政府網路，根本是合法的網路流氓。而 CNNIC 背後支持的政府組織是中華人民共和國工業和信息化部、中國科學院、中國科學院計算機網絡信息中心 等中國政府組織。很難說，哪一天 CNNIC 不會被控制作為攻擊工具之一。

除了 CNNIC 自行發布的 CA Cert Root 外，其實 CNNIC 也已經取得 Entrust.net 所發布的次級憑證。建議所有台灣政府單位，一律移除 CNNIC 相關憑證。

若你覺得此事關係重大，可以以投票方式附議 Bug 542689 – Please Remove “CNNIC ROOT” root certificate from NSS，提高該問題的被重視程度。

跳板風險

其實 Mozilla 先前也曾經遭遇過亂搞的安全憑證公司。原則上，任何人要申請特定網域的簽章，必須提供書面資料，證明你是該網域的擁有者。因為 SSL 憑證一個主要功能是防止釣魚網站欺騙一般消費者，若使用假冒的憑證，使用者很容易就發現網址異常。

若安全憑證公司絲毫不做基本的驗證，任何人都可以申請想仿冒的網域，然後以中間人攻擊 (MITM) 詐騙你交出個人資料。想像，你收到一封 PCHOME 的廣告，連到一個假的網站，這個網站提供了完美的 SSL 憑證，瀏覽器沒有提示你任何異常，除非你刻意去點選確認簽章，否則很自然就會上當。

Mozilla 的事件起因，是有人回報一安全憑證公司透過廣告郵件推銷新的服務。但這個憑證公司的服務卻允許你隨意購買任一網址的簽章，於是你可以購買並假冒任何網站。Eddy Nigg 寫了一份詳盡的說明，當時並做了一個驗證概念的 Mozilla.com 憑證。在事情曝光後，Mozilla 已撤除這組組憑證了。

移除 CA 憑證

驗證方法是開啟 CNNIC 的網址衛士 (使用 Entrust.net) 或 CNNIC 的 ENUM 試驗平台 (使用 CNNIC Root Cert)。若你的瀏覽器絲毫不給警告的就讓你存取，你的系統即已安裝 CNNIC 憑證。

2010-02-23 更新請使用  CertAlert 與 CA Untrustworthy 等工具來移除或警示可疑憑證。

在 GNU/Linux Debian, Ubuntu 上，系統保持一份共用的 CA 憑證，許多網頁工具如 Firefox, curl, wget, Chrome 均共用同一組設定。因此最簡便的方法便是關閉系統上有問題的憑證。

作法是以 root 在終端機內重新設定以下指令

# dpkg-reconfigure ca-certificates

找到 mozilla/Entrust.net_Secure_Server_CA.crt 一列，反選取之，選擇確認即可。或者直接編輯 /etc/ca-certificates.conf，一樣找到此行後，於該行開頭加入驚嘆號 (!)，然後重新以 root 執行一次 update-ca-certificates.

另外，你也得到瀏覽器手動刪除原已匯入之憑證。注意，若該筆憑證下方有多筆簽章，你必須刪除全部簽章。見圖

按下 Delete, 重新啟動 Firefox，如此即可移除相關的 CA 憑證，其他瀏覽器需比照辦理。你若使用其他作業系統，請參考 Felix Yan 所整理之 從「受信任的根證書」裡趕走CNNIC。

以下補充說明 (20100203):

許多網友認為，即使系統有此憑證，也不至於影響系統。

事實是，若有此憑證，你將被剝奪警覺的能力，像是痛得知覺消失一樣。當攻擊事件發生時，唯一可以主動提示你的 SSL 機制也可能失效。在中國網路長城的「內部網路」，網址被攔截、轉換是很平常的事件，即使你在網外，也可能在網站轉址攻擊事件或大規模網頁綁架轉址發生時，變成受害者。

除了網址之外，這份憑證也可用於不同的連線服務加密認證。我並不想因為系統上存有一份無須有的 SSL 憑證，造成我日常認為經加密而安全的 SMTP/IMAP/IM 「可能」偷偷地遭到攔截、擷取資料。而我卻一無所知。

更新 (2010-02-23)

請使用  CertAlert 與 CA Untrustworthy 等工具來移除或警示可疑憑證。

由於最近都已經只用 git，依據我自己的習慣，希望能夠在檔名中使用簡碼版次，以便未來能夠追蹤出該版次的問題。稍微問了一下友人與查了一下文件，取得 abbreviated commit hash 的作法如下

git log --pretty=format:"%h" -1

若你想將整份程式碼壓縮起來，可以使用

git archive --format zip -o filename.zip HEAD

倘若想加上日期作為檔名，請使用

git archive --format zip -o $(git log --pretty=format:"%h" -1).zip HEAD

若常常使用這個指令，有兩種作法，一是設定為 git alias. 另一則是利用 git 的 commands (verbs) 命名機制，在你的執行路徑 下，寫入一檔案名稱如 git-zip。並將上述指令加入檔案中，未來就可以使用 git zip 來產生最新版壓縮檔。

作法如
$ cat > ~/bin/git-zip
#!/bin/sh
git archive --format zip -o $(git log --pretty=format:"%h" -1).zip HEAD
$ chmod u+x ~/bin/git-zip
$ cd git-repository
$ git zip


另外，為了容易辨識版次，你也可以利用 gitattributes 在程式碼中加入 ident ($Id$) 作為標示。操作可參考 Lloyd Huang 所寫之 Howto.

這是一篇 Tip.

對此，Firefox 在 Java Script 開發環境的安全設計主要分為賦權與未賦權的兩種安全模式。賦權的環境中，軟體可以存取所有的 XPCOM，沒有任何限制，於是它可以讀取或修改使用者的歷史紀錄、Cookie 等，甚至存取所有系統檔案。而 non-privileged 則僅提供限制嚴格的 HTML DOM API 權限，Script 的存取也依照其網址與網域名稱給予嚴格限制，避免 XSS 或本地檔案讀取等安全問題發生。

無論是外部的網頁，或者是 XUL 軟體，都是使用 XML/HTML/Java Script/CSS 來撰寫，因此概念上都是由 Window 載入 XML 文件，並透過 Java Script 來存取 DOM API。

開發延伸套件時，凡是在 XUL Overlays 或 XPCOM Components 中的程式碼，都是給予完全的存取權限。而從外部網頁載入的內容，應該給於其未賦權的權限。這種安全模式的設計，乃是防止網頁上的程式可以任意存取系統資源，是一道安全保護牆。

由於 Mozilla 社群並未對安全模式定義名詞，這裡暫區分稱呼如下兩種安全模式

• Web content document (non-privileged)

• Chrome document (privileged)

各個程式的安全模式可依照該載入網址作區別，例如 chrome:// 有完全權限、http://example.com 則可存取 example.com、file:/// 則可存取本地檔案。

你也可在利用 PrivilegeManager  詢問使用者後存取 XPCOM 或者讓 XMLHttpRequest 跨網域存取。除了預設依照網址判斷外，開發者可以設計不同的內容使用安全模式，開發者可以決定直接載入網路資料後在 Chrome Document 中執行，或者利用 type=”content” 之方式使其載為 web content document.

但是剪下貼上是一個開發者都會犯的錯誤，最常見的錯誤之一就是直接把外面抓回來的資料，用 innerHTML 直接塞進 chrome document 中。有時候資料中會含有一些 java script，雖然 <script /> 中的語法不會被執行，但是 <img onerror=”alert(‘xss’)”> 這種程式碼還是會被觸發，外部資料中夾帶程式碼的狀況還是相當多，因此凡是處理外部連結都要小心。

Security Assessment 的 Roberto Suggi Liverani 與 Nick Freeman 在上個月初於印度舉辦的 SecurityByte & OWASP AppSec Conference 中，與今年年中的 DefCon 17，發表了幾個 Mozilla 上的零時差漏洞。根據他們的文章與簡報，最常見的就是如 RSS Feeds 中的 <description> 的程式碼會被觸發執行、或者像是 FireFTP 1.1.4 以下的版本，會執行伺服器上的歡迎頁面。或者是熱門的 ScribeFire 3.4.3 以下版本，會以 chrome document 執行 <img onLoad=”alert(‘xss’)”>。

避免這些錯誤的方法之一是盡量使用 DOM manipulation methods 來塞入內容。在 Security best practices in extensions 一文中，講解了數個開發安全延伸套件的方法與注意事項，像是無論如何得執行他人的 Script，那就用 evalInSandbox 來執行。

另外你若得在兩種安全模式間互傳資料，正確的作法應該是盡量利用 DOM Event.