扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
ZDNET安全频道 01月15日 综合消息: Mozilla首席技术官Brendan Eich顿促网友们要谨慎,不要盲目相信软件供应商。Eich认为唯有开源软件能确保不含政府授权植入的监控代码。
Eich在一篇与Mozilla研发副总裁Andreas Gal合写的博客文章指,“今时今日,大型浏览器无一不是通过受监控律法约束的组织发布的。”
Eich认为,根据监控法,政府可以强迫软件公司在他们的产品植入监控代码。更糟的是,由于言论禁令,这些公司及厂商不能向公众披露监控代码的存在。
这位Mozilla大哥认为,开源软件有助于缓解这一风险,因为客户可以选择审查源代码和找到潜在的后门。
Eich说,同样重要的是,安全研究人员可以编译开源项目的源代码,用得到的可运行程序与分发软件供应商的程序比较,以确保下载的可运行文件不包含任何未披露的附加元件。
Eich表示,对于像IE浏览器之类的产品,这样做是不可能的,因为微软并不与客户分享专有代码。
他补充说,那些使用如WebKit和Blink开源HTML渲染引擎的浏览器也不安全。他特别提到Safari和Chrome浏览器的专有代码含有一些“重要的成分”,以提供政府设置潜在陷阱的可能。
Eich免不了在博文里吹嘘一下火狐这款非盈利浏览器,“而Mozilla的火狐浏览器是100%的开源。”
到目前为止,100%开源其实也未必可以保护火狐用户免受监控。去年八月,一个通过匿名洋葱网络发布的火狐浏览器版本被发现含漏洞可导致用户遭受攻击。漏洞会泄露用户的MAC地址(物理地址)。骗子偶尔也能欺骗火狐浏览器用户下载附有假软件和恶意软件的更新。
为了解决这个问题,Eich呼吁安全研究人员“定期审计Mozilla的源代码,并通过各种有效的手段验证软件各个阶段的可运行程序,”包括建立自动化步骤,以及在发现问题时及时向用户发出警报。
他还提出,这种经过全面审核的浏览器同时也是一种“信任锚”,可以用来验证网络服务的真实性。这些网络服务本身也可能包含秘密的监控代码。
Eich在博文里指,“安全从来不是‘完成时’。安全是一个过程,而不是一个最终的静止状态。没有什么万能之策。任何方法都有其局限性。但是,开源软件显然优于非开源软件,开源软件具有可审性,提供了审核比较源码和可运行程序的可能,而非开源软件则缺乏可审性。”
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者