默默無聞的安全性比開源軟體安全嗎?
Linux用戶經常把安全性的好處作為喜歡開源軟件的原因之一。由於代碼是開放的,每個人都可以看到,有更多的眼睛尋找潛在的錯誤。它們指的是相反的方法,在這種方法中,代碼只對開發人員可見,通過模糊性作為安全性。只有少數人可以看到代碼,而那些想利用bug的人不在這個列表中。
雖然這種語言在開源世界中很常見,但這並不是Linux特有的問題。事實上,這場爭論比計算機還古老。問題解決了嗎?一種方法真的比另一種更安全嗎,或者兩者都有可能是真的嗎?
什麼是隱晦式安全(security through obscurity)?
通過隱祕實現的安全性是依賴於保密性作為保護系統組件的一種手段。如今最成功的商業操作系統背後的公司部分採用了這種方法:微軟(Microsoft)、蘋果(Apple)和谷歌(Google)。這個想法是,如果壞演員不知道缺陷存在,他們怎麼能利用它們?
你和我都無法在運行Windows的代碼上達到頂峰(除非你碰巧與微軟有關係)。macOS也是如此。Google開源了Android的核心組件,但大多數應用程序仍然是私有的。類似地,Chrome操作系統基本上是開源的,除了將Chrome與Chrome分開的特殊位。
什麼是缺點(the drawbacks)?
因為我們看不到代碼中發生了什麼,所以當公司說他們的軟件是安全的時,我們必須信任他們。事實上,他們可能擁有業界最強的安全性(谷歌的在線服務似乎就是這樣),或者他們可能有令人尷尬地徘徊多年的明顯漏洞。
默默無聞的安全性本身並不能為系統提供安全性。在密碼學的世界裡,這被視為一個給定的條件。Kerckhoff的原理認為,即使密碼機制落入敵人手中,密碼系統也應該是安全的。這個原則可以追溯到19世紀末。
香農的格言沿用於20世紀。它說,人們應該在假設對手會立即熟悉系統的前提下設計系統。
早在19世紀50年代,美國鎖匠阿爾弗雷德·霍布斯(Alfred Hobbs)就演示瞭如何挑選那些聲稱保密使他們的設計更安全的**商生產的最先進的鎖。以撿鎖為生(可以說)的人真的很擅長撿鎖。僅僅因為他們以前可能沒見過,也不會讓人難以理解。
這可以從Windows、macOS和其他專有操作系統的定期安全更新中看出。如果保持代碼的私密性足以隱藏缺陷,那麼它們就不需要修補了。
默默無聞的安全不是唯一的解決辦法
幸運的是,這種方法只是這些公司採取的防禦計劃的一部分。谷歌獎勵那些發現Chrome安全漏洞的人,而且它也不是唯一一個使用這種策略的科技巨頭。
專有技術公司花費數十億美元來確保他們的軟件安全。他們並不是完全依靠煙霧和鏡子來趕走壞人。相反,他們依靠保密作為第一層防禦,通過使攻擊者更難獲得他們想要滲透的系統的信息來減緩攻擊者的速度。
問題是,有時威脅並不是來自操作系統之外。Windows10的發佈向許多用戶表明,不想要的行為可能來自軟件本身。微軟加大了收集Windows用戶信息的力度,以進一步實現產品的盈利。我們不知道它對這些數據做了什麼。我們無法查看代碼。即使微軟真的開放了,它仍然是有目的的含糊不清。
開源安全性更好嗎?
當源代碼公開時,更多的眼睛可以發現漏洞。如果代碼中有bug,那麼就會有人發現它們。別想在你的軟件裡偷偷摸摸。有人會注意到,他們會叫你出來。
很少有人期望最終用戶查看並理解源代碼。這是其他開發人員和安全專家要做的。我們可以放心知道他們是為我們做這項工作。
或者我們可以?我們可以簡單地與**作比較。當新的立法或行政命令通過時,有時記者和法律專業人士會仔細檢查這些材料。有時它會被忽視。
諸如Heartbleed之類的bug已經向我們表明,安全性並不能得到保證。有時bug是如此的晦澀,以至於幾十年都沒有被發現,即使這個軟件被數百萬人使用(更別說這在Windows上也不會發生)。它可能需要一段時間來發現怪癖,如打退格鍵28次繞過鎖屏。僅僅因為很多人能看代碼並不意味著他們能看。再說一次,正如我們有時在**中看到的那樣,公共材料可能會因為無聊而被忽視。
那麼,為什麼Linux被廣泛認為是一個安全的操作系統呢?雖然這部分是由於Unix風格設計的優勢,但Linux也得益於其生態系統中投入的大量人員。隨著谷歌、IBM等各種各樣的組織與美國國防部和中國**的合作,有許多方面都在投資保護軟件的安全。由於代碼是開放的,人們可以自由地進行改進,並將其提交給其他Linux用戶以從中受益。或者他們可以自己保留這些改進。相比之下,Windows和macOS僅限於直接來自微軟和蘋果的改進。
另外,雖然Windows在臺式機上可能占主導地位,但Linux在服務器和其他任務關鍵型硬件上被廣泛使用。許多公司喜歡在風險如此之大的情況下選擇自己的解決方案。如果你真的有妄想症或者需要保證沒有人監視你電腦上發生的事情,你只能在你能驗證你電腦上的代碼在做什麼的情況下才能這麼做。
您喜歡哪種安全模式?
人們普遍認為,只要密鑰是私有的,加密算法就必須是開放的。但是,如果代碼是開放的,那麼所有的軟件都會更安全,這一點並沒有達成共識。這甚至可能不是一個正確的問題。其他因素會影響系統的脆弱程度,例如發現漏洞的頻率和修復漏洞的速度。
儘管如此,Windows或macOS的封閉源代碼特性是否讓您感到不舒服?你用過嗎?你認為那是一種額外福利,不是一種損害嗎?插嘴!
- 發表於 2021-03-14 23:58
- 閱讀 ( 45 )
- 分類:科技
你可能感興趣的文章
開源(open source)和專有軟體(proprietary software)的區別
主要區別——開源與專有軟體 開源軟體和專有軟體的關鍵區別在於,開源軟體釋出原始碼,而專有軟體保留原始碼。在最近的一段時間裡,開源軟體有了長足的發展。開源軟體已經成為軟體行業的主要參與者。這在經濟方面...
android與iphone:2017年哪個更安全?
...這些年來,絕大多數由蘋果設計的預裝應用程式都保持了安全性。 ...
4種方式開源軟體不夠好
... 選擇“屬性”,然後單擊“安全性”選項卡,並參閱文件限制摘要中的資訊。如果您有適當的許可權,您將看到“允許”列在不同的文件選項旁邊。對於本例,允許“更改文件”是很重要的。 ...
你的電腦有特殊用途嗎?使用此linux作業系統
...向開源軟體的重要原因之一。雖然您可以討論默默無聞的安全性是否能提供更多的保護,免受攻擊者的攻擊,但很難認為專有軟體提供了更大的隱私。如果原始碼是關閉的,我們不知道什麼程式可能是跟蹤,記錄和上傳。 ...
開發者向adobe申請開源flash
...怎樣?一旦Adobe在2020年關閉了Flash,他們就會向Adobe申請開源Flash。 ...
信任linux的5個完美理由
... 這是正確的。不管你是否擔心Linux的安全性,你已經相信它是安全的了。你的汽車**商很有可能在車內使用Linux。你能相信Linux對網上銀行足夠安全嗎?我希望如此,因為您的銀行可能正在使用Linux來處理您要...
最好的6個免費通用影片播放器的mac
... 無論是我上面列出的大型專案之一,還是一個默默無聞的Mplayer分支,每個人都對什麼是最好的影片播放器有自己的看法。所以請在下面的評論中告訴我們您更喜歡哪一種。 ...
Mac電腦比windows更不容易受到惡意軟體攻擊的5個原因
... 這裡有很多因素在起作用。近年來,Windows在安全性方面取得了巨大的進步,但macOS仍然從獨特的優勢中獲益,這些優勢使得它首先不太可能受到惡意軟體的攻擊。 ...
你上網有多安全?問自己10個問題
... VPN大大增強了您的安全性。它們的工作原理是在您和VPN提供商的伺服器之間建立一個安全的私有連線。其他人看不到你的網路流量。只要確保你和一家不留日誌的公司簽約就行了。 ...
5個優秀的開源工具,可確保個人資料安全
... 在2014年之前,安全套接字層(SSL)和傳輸層安全性(TLS)在開發人員和安全圈之外幾乎聞所未聞。然後,web的一個重要安全漏洞被發現:Heartbleed。據估計,有17%的伺服器執行OpenSSL來提供與網站的安全連線。 ...
