关于漏洞修复的一些想法

显示全部楼层 · 发表于 2010-3-18 14:12:54

本帖最后由 fido_lee 于 2010-3-18 14:18 编辑

关于漏洞扫描方面的问题想了很久了，今天抛砖出来，引引大家的玉。

什么情况导致众多厂商纷纷推出漏洞修复功能？我想最开始的原因，就是因为许多用户所用的都是盗版系统吧。当时我用的是正版操作系统，所以漏洞的修复一直寄希望于Windows Update。那时候可能许多用户正是因为担心Windows Update会将WGA这类补丁请到系统中，所以对于漏洞修复都是避而远之的。况且当时的病毒与漏洞攻击也远不如今天这般泛滥。

后来大家（厂商和用户）逐渐地领教了“冲击波”、“震荡波”所带来的危害，于是乎从那时起便开始真正的意识到了漏洞修复的必要性。结合国内的现实情况，如果能够存在一款软件，可以帮助用户打上需要安装的补丁，同时也不会引入那些非必要的补丁，是再符合市场需要不过的了。于是，从那时起，主流杀软厂商的产品中便具有了这一功能。只不过当时的漏洞经济、病毒经济远没有现在这般繁荣，厂商们似乎都没有去刻意描绘这一功能，而只是默默的升级，默默的帮用户修复着漏洞。在我印象中是这个样子，或许由于之前我经常使用Windows Update而对这类产品不甚关注罢了。想必当初的用户使用杀软厂商这些第三方开发的这一功能的初衷，便是在安全与盗版之间寻求一个折中的解决方案。就这样，在正版依旧疲软而盗版仍旧主流的现实情况下，越发关注安全的用户们也越发依赖第三方厂商提供的漏洞修复。

各种类型漏洞的存在，成为了现今病毒猖獗的主要原因。不妨想想看，病毒都是通过哪些途径进入系统的？可能你的系统中了数十个病毒，但其源头可能仅仅是一个木马下载器。那这个下载器又大多是通过什么进入的呢？漏洞。系统的乃至第三方程序的漏洞都在对病毒开敞着系统的大门。相比较这些大门而言，那些有些矫情的“后门”其意义可就差多了。厂商也是越来越具有商业头脑，各种宣传风暴与概念轰炸此起彼伏，漏洞和漏洞修复自然也就成为了厂商们盛装的舞台。扫描的漏洞数量越来越多、支持的系统越来越广、人性化功能也越来越丰富、下载速度也越来越迅速等等，都是厂家为了更好的吸引客户的眼球而作出的努力。

可以说，正是有了之间的竞争，才出现了如今漏洞修复百家争鸣、各具特色的局面。但是，竞争促进的往往不仅仅是产品质量的提升，其也会导致一些不合理或者有待推敲的做法的迅速膨胀、畸形生长。比如，使用许多厂商的产品在对系统进行扫描的时候，会出现许许多多“待修复”的系统“漏洞”。其实这些真的有必要修复吗？真的都是漏洞吗？想必专业的厂商心里会更清楚。那这样的做法又是为了什么呢？可能就是为了在与其他家的比拼中，能够显得更加“专业”和值得信赖一些。

我认为就普通用户而言，最最需要安装的补丁，就是每月微软安全公告中推出的那些。因为这些补丁顾名思义都是事关系统安全的，是不法分子进行侵害的突破口。而至于其它类型的补丁，可能只是为了改善操作系统某方面的功能，或者解决在部分系统中出现的异常，显而易见这部分补丁并非每个用户必须安装。换言之，其安装的与否不能仅仅通过这个补丁是否适用于本系统来加以定夺。我们能说为了健康，而去把药店里能吃的药都吃一遍吗？显然，那种“你有多少我吃多少”的境界我们达不到。可能无忌的大肆安装，还会让原本正常的系统而失常。

即使是这些事关系统安全的补丁，如果考虑其被利用方面的可能性与难易度等问题，也是可以分出个轻重缓急的。也就是说，有些漏洞可能不容易被触发，或者一般用户的系统环境不容易满足这些漏洞触发的条件，那么这部分补丁是不是可以不打，或者给那些急需修复的补丁让让路呢？好在一些厂家会通过自己的方式对补丁的严重程度加以标识，但是，我们看到的依旧是一个繁杂庞大的待修复补丁列表，可能还会打心底里由衷的赞叹一句：“真专业啊！系统里的漏洞可真多！”

我个人认为微软还算厚道。对于安全类的补丁而言，他从来没有采取下载、安装前需正版验证的做法。如果担心Windows Update会引狼入室，那我们完全可以从http://www.microsoft.com/china/technet/security/current.mspx上手动下载自己所需的补丁并进行安装，自己动手丰衣足食吗。况且现在的技术型用户很多，自己写个批处理脚本完成后台安装想必也不是梦。这是微软给每个微软用户的“福利”，而并不去在乎你是真的上帝还是因为种种原因不得以的伪上帝。没办法，当前就是这么一种局面，如果置盗版用户与不顾，想必微软也不会得到什么好处的。微软只能通过“正版增值计划”、“正版验证”等美其名曰的方式，给正版用户一点点心理上的满足和尊严，和与盗版用户之间的一线之分。而一些厂家呢？居然会提供一些需要正版验证才能下载的补丁，我实在想不明白这种行为到底算什么。

显示全部楼层 · 发表于 2010-3-18 14:17:12

如果说，漏洞修复功能开发的初衷，是帮助用户修复微软都许可盗版用户修复的漏洞，是一种便民行为，是一种善举，甚至是一种帮助微软行了道以及做了好事儿的行为，那么下载这些需要正版验证补丁的行为，算不算做好事儿的同时或者之后的一种假公济私的“变性”行为呢？怎么想，这事儿都有点儿让人想不通。不想也罢，微软都默认着呢，我这儿着的又是哪门子急？

显示全部楼层 · 发表于 2010-3-18 14:19:44

想抛砖引玉？好像缺一门诶

不过支持长篇文字，经验老到

显示全部楼层 · 发表于 2010-3-18 14:23:48

想抛砖引玉？好像缺一门诶
不过支持长篇文字，经验老到
铩雨骑士发表于 2010-3-18 14:19

？

显示全部楼层 · 发表于 2010-3-18 14:32:49

回复 4# fido_lee

意思是写的挺好了 “抛砖引玉”不可能，顶多就是抛玉引砖

显示全部楼层 · 发表于 2010-3-18 14:45:04

呵呵。没事儿。

看法不一，众口难调。只是一直这么想，今天突然想牢骚牢骚而已。

无论是玉是砖，一吐为快就好。

显示全部楼层 · 发表于 2010-3-18 15:37:55

我来学习加顶帖

显示全部楼层 · 发表于 2010-3-18 16:56:19

连砖都没引来～～

显示全部楼层 · 发表于 2010-3-18 17:15:31

楼主说的不错，我一直用Windows Update的
所以不太了解第三方软件打补丁的情况
支持下

显示全部楼层 · 发表于 2010-3-18 17:21:02

如果说，漏洞修复功能开发的初衷，是帮助用户修复微软都许可盗版用户修复的漏洞，是一种便民行为，是一种善 ...
fido_lee 发表于 2010-3-18 14:17

您老说的盗版打补丁，我不会赞同的！！能够过验证的盗版呢？

[讨论] 关于漏洞修复的一些想法