很多你在使用的軟體都有著安全漏洞。
任何讀過馬修•加勒特作品的人都知道很多專門用來銷售的軟體是不靠譜的。一些linux倡導者宣稱開放自由而且免費的軟體比封閉的專門用來謀利的軟體更安全,然而這裡有乙個公開的秘密,那就是大量受歡迎的linux桌面應用軟體有很多已知而且沒被修復的漏洞。我很少聽到有人討論這個,就好像它不能被討論一樣,可是它困擾了我很久。
通常漏洞是不會報告給使用者的,因為沒有人很在乎。
這裡有乙個很簡單的遊戲:選任何一款能使http連線困在老版本webkit的任何一版的應用程式,然後開始遊戲,我們將看到下面基本的漏洞:
除特殊說明外,上面列出的所有軟體的最新發布版在寫這篇文章的時候,仍然能受到攻擊,即使是在很久以前這些漏洞幾乎被全部發布。除了shotwell,沒有人修復這些漏洞。也許致力於這方面工作的人沒有人在意去修復它,或者也許在這方面工作的人沒有人有這個時間或者專業的知識去修復它,或者也許根本就沒有人從事這方面的工作.這在開放免費自由的軟體界很常見。
至於shotwell,在git裡已經修復了這個問題,但是也許它永遠不可能被發布了,因為不再有人為shotwell繼續工作了。三個月前我通過gnome經銷商列表找到了shotwell的經銷商並告訴了他們shotwell的弱點。
我們正式機構和發布者交談,並且建議他們更新乙個git快照。大部分發布者根本不理會。這就是乙個很典型的例子;據我所知,除了fedora所有穩定發布的linux版本仍然容易受到攻擊。如果你想玩上面的遊戲,通過檢測那些流行的桌面軟體你應該很容易在我的列表裡
在乙份相關的記錄上,很多應用使用不安全的依賴關係。很多流行的gtk+應用都困在乙個過時而且不宜用的webkitgtk+版本裡,例如,很多流行的kde應用使用qtwebkit,然而它卻過時而且不宜再被使用。這些不宜再被使用的webkit版本往上追溯將會有遠遠超過100行的遠端**執行漏洞要修復,然而它們也許永遠不會被修復。(100是過低的估計;如果qtwebkit的漏洞數量很多很多我一點也不驚訝。)
我不是要宣揚那些封閉拿來賣錢的軟體通常比免費開放的軟體更安全,因為那絕對是不正確的。例如那些封閉軟體開發商,包括那些你也許認為比較了解的有名的大公司,同樣在qtwebkit的基礎上進行大量的商業開發軟體。(這是不道德的,但是大多數的封閉軟體開發上不關係安全。)那不重要了,因為不管怎樣封閉軟體開發商很少提供全面的安全更新。(如果你的android手機仍然能獲得更新,猜猜看:他們很膚淺。)少量傑出的封閉軟體開發商 是真的關係安全問題而且致力於保護他們的使用者資訊保安,但是他們是大多數中很少的例外,而不是普遍現象。
我們不能把免費開放的軟體做得更好是我們的恥辱。
這樣的開源基金設想行得通嗎?
這是今天我在參與easyjf開源 籌備事宜討論時,寫的一些關於easyjf開源 的設想,歡迎csdn的給點建議,在目前國內開源社群還不太成熟的情況下,這樣的設想得通嗎?easyjf開源 的一些想法 由於easyjf開始在地方成立辦公室或實驗室,舉辦各種技術交流 學術討論等活動都需要涉及一些資金,光靠...
這樣的開源基金設想行得通嗎?
這是今天我在參與easyjf開源 籌備事宜討論時,寫的一些關於easyjf開源 的設想,歡迎csdn的給點建議,在目前國內開源社群還不太成熟的情況下,這樣的設想得通嗎?easyjf開源 的一些想法 由於easyjf開始在地方成立辦公室或實驗室,舉辦各種技術交流 學術討論等活動都需要涉及一些資金,光靠...
這樣的開源基金設想行得通嗎?
這是今天我在參與easyjf開源 籌備事宜討論時,寫的一些關於easyjf開源 的設想,歡迎csdn的給點建議,在目前國內開源社群還不太成熟的情況下,這樣的設想得通嗎?easyjf開源 的一些想法 由於easyjf開始在地方成立辦公室或實驗室,舉辦各種技術交流 學術討論等活動都需要涉及一些資金,光靠...