你用了逻辑推导的形式,但你用的是诡辩的内核,所以你总是能得出匪夷所思的结论。
首先,你想说的是控制用户是什么意思?在我的理解就是MS这个主体,出于为自己某些方面牟利的考虑,通过市场垄断地位控制用户。如果是这个意思,那
https://en.wikipedia.org/wiki/Microsoft_litigation#Private这里面列了很多windows为了搞竞争对手,利用自己在OS领域的垄断地位,故意在自己的系统内搞不兼容,搞隐藏api等不正当竞争手段,来打击对手的事情。
http://www.ecis.eu/documents/Finalversion_Consumerchoicepaper.pdf
这篇European Committee for Interoperable Systems做的调查,对MS这方面的事情做了更详细的收集整理(讽刺的是这份文档还是用word做的)。我认为这些都是控制用户的体现。
linux我就不知道了,因为linux似乎没有一个主体。开源软件的风格是人在江湖,不服就fork。Linux一定要说主体那就是Linus Torvalds了,这货到现在为止依然是个中年技术宅,他确实有很强的技术方面的控制欲,至少有很强的表达欲和影响力,但对控制用户好像没啥兴趣。
如果你说的控制用户是说有非官方的第三方势力,通过技术手段入侵、欺骗、伪装等形式进入系统,实现对用户的劫持和控制,以此牟利或只是单纯的破坏的行为。那抱歉,我想说每一个装了360的都是被劫持被控制的用户。但我后来再想了想这个范围似乎还是太小了点。这么说吧,所有右下角会时不时弹广告的windows系统,都是处于一种用户被控制了的状态。至于各种透过被污染的非官方渠道传播的恶意代码,什么汉化xcode给你编译出注入恶意行为的app啦,什么汉化putty劫持你的管理员帐号密码啦之类的破事都没必要说。
apt带来了方便的同时,确实是一定程度上降低了安全性。但windows相比之下那就是百鬼夜行。一个是吃米饭吃到一粒老鼠屎,一个是吃老鼠屎吃出一粒米。你区分不了两者的区别,所以在你眼里两者性质是完全一样的,谁也别说谁?那你更爱吃老鼠屎我也没啥办法,千金难买我愿意,你开心就好。
还有,别再说“匿名代码”了,我看着好尴尬。
算了我把heartbleed的commit log翻出来,给你做点科普吧。
这个是原始的commit log:
https://rt.openssl.org/Ticket/Display.html?user=guest&pass=guest&id=2658
写这段代码的是Robin Seggelmann,当时是杜伊斯堡-埃森大学的博士生。
审核这段代码的是OpenSSL四位核心开发者之一的Stephen N. Henson。
当时他没发现问题,合并进了分支,2012年3月14日发布,漏洞开始传播。
漏洞首先由芬兰网络安全公司Codenomicon的工程师命名并设计了心脏出血标志,并设立了网站heartbleed.com向公众解释该错误。但其实是谷歌的安全团队首先向OpenSSL发送了报告。不过谷歌和Codenomicon几乎在同一时间分别独立地发现了这个漏洞。谷歌安全团队的Neel Mehta于2014年4月1日11:09 UTC报告了漏洞,Codenomicon称它于2014年4月3日发现并通知了NCSC-FI以进行漏洞协调。
第一个补丁是2014年3月21日做好,4月7进入redhat的跟踪系统(是的,redhat就是那个为开源系统提供商业维护的商业公司):
https://bugzilla.redhat.com/show_bug.cgi?id=1084875#attach_883475当日Stephen N. Henson应用了这个补丁,同日发布首个修复版。以上就是heartbleed的完整历史,以后别再说匿名代码了哦,每个人都是有名有姓,所有的历史都是清清楚楚的哦。
顺便说下,我对windows不感兴趣,但我当然也会关注安全方面的人,所以多多少少知道windows下什么10年没修的漏洞啊之类的事,比如这个。
“tombkeeper 2019-12-19 15:07:43 发布
Typelibs 的问题我 2008 年就报给微软了,告诉他们可以用来攻击 Visual Studio 等开发工具,但是微软没理。然后我 2015 年在《Sexrets of LoadLibrary》这个演讲里简单提了一下。这个荷兰哥们看来是打算放 Demo 出来了……”
最后的最后。再说一遍这个世界上没有代码是绝对安全绝对正确的,除了极少数通过形式化证明的代码。比如图灵奖得主Knuth因为不满意杂志社排版软件把他的论文和公式排的不漂亮,自己轮了个排版软件,开源并承诺每发现一个bug奖金翻翻,从2.56$开始,目前翻到了327.68$的这个TeX。没听说过可别觉得这是小众软件哦,大部分的paper都是以它为基础排出来的(垃圾paper除外,这个一般用word排)。你找个敢做出类似承诺的商业软件试试?
所以,我们追求的本来就不是,也不可能是绝对的安全性,我们追求的是对绝对安全的无限逼近能力,对历史真相的无限追溯能力。这个能力,商业公司给不了。
【 在 leadu 的大作中提到: 】
: 开源商业?
: 你这个帖子回复的我的那个帖子中第二句话就说了“我的帖子不是在说开源不好,开源有可定制化等好处。我的帖子是在讨论ArchLinux贴的那个图,那个图在说Windows控制用户,而用户可以控制Linux的。”
: 开源啥的话题以后有机会再聊,我只说说和ArchLinux贴的那个图相关的
: ...................
--
FROM 180.111.48.*