科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全防御 自动更新是不是做过头了?

安全防御 自动更新是不是做过头了?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

 不可否认,每个程序员编写的代码都会有漏洞,虽然这听起来让人不快,但这并不是他们的错——看看现在各种复杂的软件开发平台就能理解,出错是不可避免的。要紧的是程序员要抢在错误造成任何伤害之前采取措施予以纠正。自动给用户推安全补丁是修复漏洞的最快方法,但要注意:它很容易就做过头了——就像微软那样。

来源:网界网 2009年5月13日

关键字: 补丁管理 系统更新 防御

  • 评论
  • 分享微博
  • 分享邮件

  不可否认,每个程序员编写的代码都会有漏洞,虽然这听起来让人不快,但这并不是他们的错——看看现在各种复杂的软件开发平台就能理解,出错是不可避免的。要紧的是程序员要抢在错误造成任何伤害之前采取措施予以纠正。自动给用户推安全补丁是修复漏洞的最快方法,但要注意:它很容易就做过头了——就像微软那样。

  典型的例子就是Internet Explorer。长期以来,由于其宽容的设计和一系列似乎永无休止的安全漏洞,微软的浏览器被各种恶意软件和攻击当成主要目标。为此,4月中旬微软发布了一个重要的IE安全更新。这应该是件值得庆贺的事情,微软的开发人员做的不错,可以说这个安全漏洞已经被关闭了。

  这次的更新不仅仅是又一个安全补丁,而是Internet Explorer 8——一个全新的,重大的版本升级。同意安装的用户会发现它取代了旧版本的IE。不同意的用户…….嗯,没办法,那就必须敢于忽略这次“关键安全更新”。自己做出决定吧。

  IE8建立了一个新标准

  微软有强有力的理由来这样做,因为旧版本的浏览器不符合W3C标准——也就是大家常说的站点标准(Site Standard)。通过IE8,微软可以强扭着每位IE用户的胳膊让他们升级到最新版,从而创造出一个Windows平台上全新的事实上的标准。IE8是目前最符合标准的版本更新了。对于网络开发人员来说,这可能是一个福音。

  再说一遍,IE8对标准的坚持意味着它运行起来与IE7、IE6或IE5不会完全一样。不管你喜欢还是不喜欢,已经有太多的企业级应用已经把这些老版本浏览器的独特怪癖写进去了。因此,微软无法责怪别人,除了自己,毕竟是它发布了这些不符合安全要求的浏览器。微软为了使Windows能够保持向后兼容可谓投入巨大——此前微软在兼容性方面曾经饱受诟病,微软高管称,IE浏览器已经发展了十多年,历经多个版本;由于浏览器标准和网页开发标准的不统一,导致IE为了兼容历史版本而变得越来越“沉重”——因此对于IE来说,与其不停的发布补丁,推出一个新版本现在看来是最好的办法了。

  不幸的是,把IE与Windows相比有些恰当的过头了。曾经风靡的“网上冲浪”这个短语早已失去了它原有的意义。如今的浏览器已经越来越复杂,可以将用户和各种线上应用相连,在PC桌面上运行。它们自己已经变成了完整的软件平台。事实上,如果浏览器的功能继续提高上去,我们熟知的桌面操作系统最终也可能会失去意义了。因此微软敢于在浏览器这里试水对它的Windows也是具有一定风险的。

  自动更新很容易走得太远

  然而还是会有bug出现的。在旧时期,客户需要定期检查供应商的网站,自己查找新的安全补丁。在最好的情况下,他们可以订阅newsletter。即使这样,他们也必须下载后自己安装更新。微软的Windows Update功能是向正确方向迈出的重要一步,随后Firefox 1.5等也推出了自动更新功能。

  但是,自动更新很容易走得太远。并非仅仅是微软在偷偷地挑战用户可以接受的底线,Google的Chrome也是如此,例如Google的更新服务就在后台运行,在用户不知道的情况下静静地下载并安装新版本的浏览器。Google的做法“鼓舞”了其他人!苹果的做法几乎被认为是最糟的,因为它试图为Windows下的QuickTime用户默不做声地安装上Safari,而不管他们是否有兴趣去尝试一个新的浏览器

  幸运的是,IE8的更新比原来的要有风度的多。即使你下载了自动更新,也必须明确地确认你要安装它。而如果你决定放弃并通过控制面板的添加/删除程序将它移除,那么重新启动后,你会发现你只是回到以前版本的IE——IE8并没有被删除,但是躲了起来,不会造成坏处,也没有犯规。【有的朋友会误以为IE8是可卸载的,但其实不是这样,在最新的Windows 7 Build 7048里,打开控制面板的程序与功能,进入打开或关闭Windows功能,稍等就可以在程序服务清单里看到Internet Explorer 8的身影,接下来只需将其选中并确认,系统会重启、进行配置并再次重启,然后IE8就“不见”了。注意,这并不算卸载。】

  当然,软件供应商需要在自动处理安全性更新和用户的合作之间找到平衡。用户有权知道自己的电脑正在安装哪些软件,是因为什么原因。与此同时,他们也有责任让自己的电脑得到最新的安全补丁,让它们不会成为僵尸网络、蠕虫和其他恶意软件的受害者。

  预先提示?

  也许现在的问题是软件供应商没有给用户提供足够的信息来做出正确的选择。也许每个软件更新都应该在安装之前给用户弹出一个易于理解的解释。是不是可能会像下面这样:

  亲爱的用户:我们出了点小问题。当我们编写您现在使用的这个版本的软件时,我们认为它真的是完美的。但我们错了,它包含了一些bug,互联网上的罪犯可能会利用它们。如果您继续使用,那么每次您使用计算机时,系统可能会遭受间谍软件、病毒、身份盗窃的攻击,还有一些更糟的情况。我们现在提供给您的补丁会解决这些弱点——我们是这样认为的,但还有一个条件:它会改变软件的某些功能和行为,因此它可能无法以先前的方式工作了。它也可能不再兼容以前那些正常兼容的软件,这也可能意味着您将无法使用那些软件了。当然,一切将由您来选择。

  然而,不知道是怎么回事,我严重怀疑这样的提示是不会得到市场部门通过的……

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章