|
发表于 2010-2-1 19:16:17
只看该作者
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?
x
刚看了一篇坊间佳平的blog,对于谁来维持国内杀毒软件的道德水准,还真感觉迷糊。
传送门:http://www.kafan.cn/a/show.php?tid=140
原 博:http://blog.sina.com.cn/s/blog_44b7e6110100gmmr.html
备注:不要给我那个用图演示样本exp无法结束瑞星进程的链接,那是在漏洞修复之后的。
在中国软件市场,杀毒软件是个极有特色的领域——它是最赚钱的软件,用户愿意为注册码买单,不像其他软件被盗版侵蚀;它是最神秘的软件,普通用户根本就不懂有没有木马、有没有漏洞、杀毒效果如何,这不像IM、下载、播放等软件,任何人都能判断优劣;它的使用具有“排他性”,因为“冲突”,你装了金山就不能装瑞星,装了卡巴就不能装诺顿。
以上三点决定了一个事实:杀毒软件是强势群体,用户是弱势群体。尽管用户有选择不同杀毒软件的自由,但实际上面对神秘且强势的杀毒软件,多数用户缺乏选择权、知情权,且迁移成本较高。这就对杀毒软件的道德水准提出了很高的要求——如果它诚实、殷勤、负责任,则是网民之福;如果它欺骗、不作为、不上进,则是互联网的灾难。
要维持杀毒软件的道德水准,一靠自律,二靠独立安全组织、舆论等媒体公器的监督。前者是基本不靠谱的,在杨白劳面前,你很难要求黄世仁“自律”;后者则常常被置于杀毒软件产业链的一个环节中——安全组织可能被杀毒软件长期“包养”,媒体在业绩压力面前也常常是“拿人嘴短”,这导致了后一个途径也不靠谱。如此一来,弱势群体更加弱势,尤其是在中国,这进一步助长了杀毒软件进一步降低自己的道德水准,如此恶性循环。
这听上去有些恐怖,但是事实,只不过很多潜规则、明规则的尺度依然控制在某种平衡之中没有爆发而已。要打破这个生态圈的平衡,必须借助利益集团之外的力量。
最近炒得沸沸扬扬的瑞星“漏洞门”可以清楚地看到这一点,揭露瑞星丑闻的有两股力量:一是来自国外的安全组织,二是来自免费的360,两者都游离于这个链条之外。但即便如此,要打破平衡依然举步维艰。在这个名为NT Internals的组织公布两个瑞星两个长时间存在的漏洞之后,瑞星“本能”的反应是“这不是真的”、“这是小漏洞”、“这并非瑞星一家存在的问题”;而面对来自360“管闲事”帮忙发布安全补丁的行为,瑞星更是像刺猬一样倒打一耙。
在长期积累的、畸形的生态链中,杀毒软件厂商已经形成了一套让人匪夷所思的逻辑,可以说从“强势”变成了“强盗”。幸运的是,这并不是一个绝对垄断的行业,从业者的资源再可以只手遮天也很难堵住一切。NT Internals组织也向我们展示了国外专家的专业精神——在瑞星试图含糊其辞跳过这一劫的时候,再次发表声明“两个漏洞还存在,并且又发现了新的漏洞”。让我悲哀的是,如果这是一个国内组织,恐怕早已经被“和谐”。
巧合的是,几乎与此事件发生在同时,来自Google的安全专家发现了一个微软漏洞,并且与瑞星漏洞性质同属“本地提权”漏洞。但微软的反应截然不同:立刻发布了紧急安全公告,并给用户提供了临时解决方案的建议。微软甚至多次感谢过帮助其发现漏洞的人,包括它的竞争对手。
这到底是大公司和小公司的差距,还是“中国特色”作祟?抛开其他不谈,杀毒软件在整个事件过程中没有忘记为自己辩护、也没有忘记打击同行,唯一忘记的是作为弱势群体的用户。 “弱势群体”是中国前总理朱镕基在2002年3月第九届全国大大5次会议所作的《政府工作报告》中正式使用,对待这一群体,朱镕基指出的基本原则是:关心、支持、自助、增权。截至目前,瑞星却连起码的针对用户的公告都没有:包括解释这一切,给出临时解决措施,或者修补好漏洞。
由此可见,在中国杀毒行业,利字当头,要谈道德,是个奢侈的事。 |
|
置顶卡
毒霸比较讲道德(不懂电的客服除外),反应一个BUG基本能够做到24小时紧急响应。但是软件认证什么的就……
