Linux, 工作, 生活, 家人

Security

我們可以信任誰?

在 gslin 的網站上看到 Flamewar on Firefox security issue提到了
“問題不僅出現在 Mozilla Firefox 上,而是在目前所有 Open Source Community 都會發生”
其實問題沒有這麼簡單
原文是 How can I trust Firefox?

現在的重點是你可以信任誰?
任何一個稍懂程式設計的人, 大致上都可以了解到開發流程
SA –> SD –> Program –> Debug –> Test –> Release
但是沒有任何一個 Step 是告訴你誰會去 Review 這些 Code . 更不要說是上百萬行的 Code
這些 Code 是沒有人看的. 因為沒有人看, 所以 Office 內會有模擬飛行, 某些軟體會有復活節彩蛋
偶爾惡趣味可能會出現在程式內的某一部份.

就算這些程式被認證了, 那就是被認證過的木馬而己. 只是認證讓 Verisign 等企業可以賺賣 Sign 的
錢而己. 你如何知道木馬不在你身邊, 例如之前 Microsoft Word 文件中會夾 MAC Address, Live Update 會傳個人資訊等等(怎麼都舉 M$ 的例子, 因為這一篇文章是 msdn.com 出來的, 而我都記 M$ 的壞例子)

好吧, 接下來或許是你家的 Gateway 需要 Sign, 你家的 STB 需要 Sign .
你家的馬桶可能也需要認證一下.
我目前可以體會 Gpg 作者的感受了……

另一個就是來源網站的問題, 這其實就比較嚴重一點, 但是只有財大氣粗無頻寬限制的公
司才可以提供無限制的頻寬, 一般的小公司頻寬是大問題….
例如: papago 的 Download File , File 放在hinet 的public download site……

電子化之後, 資料的流失比我們想像中的快
最早是用影印機 COPY 資料, 或是相機 COPY 資料
間諜可以用 Wireless or USB 就簡單複製企業的大量機密文件, 純電子檔的複製極快
就算是文件經過 Public Key System 加密過, 總是要解密, 就算 Decoder 是 Hardware.
你能信任 Hardware 嗎?

怕就拔線吧. 唯有不上網路才能保全你的資料, 而不是靠 VeriSign Code Signing Certificate.

發佈留言