6月22日,位于马萨诸塞州剑桥的安全公司Bit9发布了一个“最容易受到安全攻击”的15个应用软件排行榜,来自Mozilla基金会的Firefox浏览器夺得“状元”。消息传出,各大网站又兴起了一场新的“Firefox和IE到底谁更好”的争论。曾经以浏览的安全性攻击IE的Firefox,如今却取代IE而“金”榜提名,它真的有这么糟糕么?连“最安全”Firefox都不安全了,还有软件值得信赖么?
一、榜上有名,一点都不冤枉>>>Web2.0时代:对浏览器2.0的猜想
此次Bit9公司公布的排名中,Mozilla的Firefox、Apple的iTunes、eBay的Skype排名前三位,成为最容易“受伤”的软件。接下来从第四到第十五位分别是Adobe Acrobat Reader、Sun Java Run-Time Environment、Macromedia Flash、WinZip、AOL Instant Messenger、Microsoft Windows/MSN Messenger、雅虎通、Sony/First4 Internet DRM rootkit、BitDefender、Kazaa、RealPlayer、ICQ。一贯以安全性高自居的Firefox为何这次让我们大跌眼镜呢?难道这个排行榜完全是在忽悠人么?
长期以来,大家都觉得由于IE支持ActiveX技术,由于ActiveX控件的C代码可以任意访问本地资源,让它成为祸害的根源所在,造成了IE的不安全。诚然,Firefox的确少了ActiveX的麻烦,但Firefox却使用了与ActiveX类似的XPCOM技术。以前IE远远比Firefox流行,当然针对其做的不安全的ActiveX控件要比真对Firefox的不安全XPCOM插件要多得多了,但是随着Firefox市场占有率的提高,这一问题将变得越来越严重。Firefox逐渐变得不安全,一言以蔽之,“枪打出头鸟”。
而我们分析该排行榜中的其它上榜者,除了RealPlayer、WinZip、Sun Java Run-Time Environment、Adobe Acrobat Reader不是纯粹意义上的Internet软件外,其它都与互联网有紧密的关系。从这里我们可以看出,软件的互联网功能越来越丰富的时候,漏洞就接踵而来,这是一种趋势,也在所难免。>>>火狐浏览器2.0版延迟至10月24日发布
有意思的是,在以往类似榜单中常常居于高位的微软公司这次在冠、亚、季军中居然没有一个软件,对于快要退休的比尔·盖茨来说,值得庆贺。
二、Firefox们真的有这么糟糕么?>>>微软称愿意帮助“火狐”在Vista平台上运行
我们仔细留意该榜单就会发现,实际上其做测试调查时采用的是Firefox早期的1.0.7版,而目前Firefox的稳定版本是,用过往的版本来评判Firefox的安全性,似乎有点不够公平。我们不知道这一调查进行的时间,不过我们至少可以得出一个结论——没有哪一款软件敢标榜自己是牢不可催的,Firefox所谓的高安全性,不过是吹的一个泡泡而已。
试想,如果有一天Firefox取代IE成为最流行的浏览器,或许它暴露出的漏洞远远多于现在的IE。Firefox作为一个开源软件,其出现的问题的确有千千万万的程序员来修补,但微软公司同样汇聚了顶尖的软件开发人员,没有软件是没有缺陷或绝对稳定的。在具备相类似的软件构架的情况下,稳定性实际上比的是团队开发过程能力和快速响应的能力,而这方面IE和Firefox虽然走得不是同一条路,但从目前而言,效果是相当的。
Firefox的粉丝们曾经启动了一个“IE粉碎”计划,笔者认为,在没有肯定Firefox和IE究竟谁更安全之前,所谓的“IE粉碎”计划也许是搬起石头砸自己的脚。
此外,分析这个榜单,我们还可以看到其它不少软件也采用的其早期版本,诸如Windows/MSN Messenger采用的5.0版本(现在已经到8.0),Skype采用的是1.4版本(现在已经到2.5)……Bit9在做调查时发现的很多漏洞实际上已经在后续版本中得到了修复。
三、见洞就补,如何练就软件“铁布衫”
网络化是软件发展的趋势,目前很多非Internet软件也逐渐增加了一些在线功能,诸如在线更新、数据交换等。还有一些软件公司也偏向于开发基于B/S架构的软件,甚至某些公司完全基于Web开发了与传统软件一样的服务。网络功能的丰富让软件的安全隐患不可避免地增多。这也对软件开发商提出了更高的要求。
而对于用户来说,如果漏洞不可避免,我们能做的就是尽量远离它。有三个基本点只要做到了,几乎就不存在漏洞问题了,至少不会因为这些漏洞而遭遇多大损失——尽量使用软件的最新版本,让操作系统保持最新,安装并更新杀毒软件和防火墙。
这三个基本点几乎是每篇与安全相关的文章中都会提到的,然而真正做到的用户少之又少没,根据国外某调查公司的数据,做到这一点的电脑用户比率不足7%!如果你不在这7%之内,那么,你的电脑就是个“不定时炸弹”。
