软件的安全尴尬:破鼓自有万人锤[网络技术]

其实一个软件在得到大众的承受后,黑客们就会开始研究它存在的缺陷,人气越旺,研究的人越多,因此表暴露来的问题必定也就越多,因此那些目前被认为是安全的软件大概是研究它们的人并不多,要不就是人气不高,无操纵代价.关于安全和人气之间的特别关系,我们发现一些风趣的现象:

●  当人气最旺的软件被作为攻击目标后,人们开始追求"安全性"更好一点的替换品,但很快这些替换品也将成为攻击目标,这仿佛是一条没有终点的路.

●  关于一款很受欢送的软件而言,即便一个百分点的用户遭到攻击,其数目也是很惊人的.

●  利用代价越高的软件越简单成为被攻击的目标,即便它们不是最风行的软件.

●  假如一个软件能用来攻击别的系统,那么它也极大概成为首先被攻击的目标,这种间接攻击常常招致攻击面的扩大.

●  最受欢送的Web服务器软件常常比第二受欢送的Web服务器软件更安全,大概很多人目前都不肯相信这是真的.

固然有人反对人气和安全成反比的概念,但不可否定,人气和安全的确有一定的接洽,人气越旺的软件对犯罪分子的吸引力也越大,假如软件自身注重安全保护,关于犯罪分子来说,挑衅难度会加大,大概他们会因此转向别的更脆弱的替换类产品.

由于人气软件用户数目众多,用户口味千奇百怪,对软件的改良需求非常多,开辟商迫于用户的压力不得不快速公布新版本做出呼应,但这样的恶果就是贫乏安全考虑,软件越做越复杂,越做越臃肿,缺陷也越来越多.

Microsoft Windows是大家最熟习,最风行的操作系统,其次是苹果的Mac OS X,Canonical的Ubuntu Linux排在第三,风趣的是,它们表露的安全漏洞排名也和这个一致.

Microsoft Windows的漏洞记录早已臭名昭著,有人认为其架构计划本身就不安全,其次Windows功效多,组件之间的关系复杂,常常是堵了东墙,漏了西墙,除了简单就是美的真理外,简单就是安全也一样被视为真理,固然微软频频声称新版本Windows更安全,但老是频频不断地公布补钉,批判人士将责任归咎于微软,而微软则喜好将责任推卸到别人,辩解Windows是树大招风,大概他们都说得对.

苹果的Mac OS X构建在更安全的核心架构上,包含一个微内核,一个BSD Unix用户形状下的GUI,一个从NeXT收购获得的创新高水平API,苹果在边界掌握上处理得很好,那些试图破坏Mac OS X系统底层底子的诡计普通不会得逞,因此苹果对漏洞的呼应速度老是很慢,很多时刻,人们城市认为微软Windows补钉战略相比之下做得更好.

最后,Canonical的Ubuntu的人气也越来越旺,由于它依靠于很多第三方开源软件,固然这些软件都不受Canonical掌握,但它们的安全性都很有保障,不过Ubuntu要将很多软件组织在一同,首先要保证兼容性,其次要保证组合后的安全性,因此Ubuntu中集成的软件老是利用安定的版本,即便如此,Ubuntu仍旧要面对诸多来自第三方软件和自身漏洞的威胁.

相比之下,那些不风行的操作系统之所以不风行很大程度是缘于其关注的重点差别,它们更注重简单和安全,在他们看来,安定压倒一切,这样的操作系统有:

●  更面向技术人员的Linux发行版,如Debian和Slackware.

●  "风行的"BSD Unix系统,FreeBSD.

●  最有安全意识的BSD Unix系统,注重精确性的NetBSD和注重安全审计的OpenBSD.

实际上,可以认为这些系统的次序是从最不安全到最安全的,也是从最风行的到最不风行的,这些都和系统的分布遍及程度和自身计划有着密切的接洽,即便最不受欢送的操作系统至少也有数百万用户,在某些特别范畴,操作系统还会举行定制,它们的数目固然很少,与Windows,Mac OS X和Ubuntu比起来,它们的漏洞也更少,但一样会遭到犯罪分子的觊觎.

因此我们认为,一个软件的人气与它失利的安全性没有必定接洽,那些专门研究软件漏洞的人普通会避开排在第二和第三的软件,可以必定一点的是,一个人气很旺的软件常常会遭到很大的社会压力,它会渐渐冲破系统原有的安全计划,为了满意各种各样的需求,软件会变得越来越臃肿和复杂,安全性也因此得不到保障.

原文标题:Security vs. popularity

原文作者:Chad Perrin