● 是“漏洞”，还是“后门” - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: RONADOL (中国), 信区: Microsoft
标  题:  是“漏洞”，还是“后门”
发信站: BBS 荔园晨风站 (Thu Nov 11 13:46:49 1999), 转信

    利用电子邮件窃取用户帐号和密码已经不是新闻。这种叫做“特洛伊木马”
的程序被伪装在电子邮件里，大量在网上散发，用户在不知情的情况下打开邮件
，就可能触发这个小程序自动安装到自己的机器上，并且将用户的网络登录帐号
和密码发给发送邮件的人从而造成泄密。今年3月份出现的“梅利莎”病毒（确
切地说，应当叫特洛伊木马程序）在包括中央电视台的大众媒体披露之后，使人
们对网络安全的脆弱性有了新的认识。

    今年9月初，风靡全球的“网络寻呼机（ICQ）”又发生用户密码泄露事件，
使得拥有全球最大客户群的美国在线（AOL）一阵恐慌。在此之前，被微软于19
98年4月收购的Hotmail也发生了用户密码泄露的事件。

    据报道，微软在媒体披露这个事件的时候，立刻宣称“已经修补了MSN Ho
tmail中存在的漏洞”，但随即在8月30日英国和瑞典的两个站点又发现了新的安全
漏洞，这个漏洞使微软的表述显出“漏洞”。安全专家对微软这种草率宣布漏洞
已被完全修复的做法提出了批评。

    尽管微软的官员把Hotmail之所以被“捅破”归之于黑客，但俗话说“苍蝇
不叮无缝的蛋”，包括微软产品在内的软件安全漏洞，还是引起了人们的广泛关
注与担忧。事实上，微软还面临着另外几个安全问题，如去年就发现经几番修补
过的浏览器IE的安全漏洞、Office97和Office2000的漏洞，以及最近关于Windo
ws98／NT的密钥问题。虽然有关问题的认识还存在分歧，漏洞的存在已是不争的事
实，但如此多的“漏洞”引起了人们的极大关注。

    这已经不能用“软件质量缺陷”来解释这个问题。软件的设计缺陷或者编码
失误，稍有软件常识的人会知道，它所导致的是“不可预见”的错误，是软件本
身运行的故障形态；然而近期频频曝光的“漏洞”就不是这样，它所导致的是“
可以预见”的软件结果，是泄密，只不过不为用户所知罢了。不能想象，如此精
巧的功能明确的软件代码，竟然是“一时疏忽”的结果。所以，人们有权提出这
样的问题：这是“漏洞”，还是“后门”？

    不久前，美国一位名叫RichardM．Smith的计算机行家发现，Office97和O
ffice2000中的文档在生成时系统会自动在其中插入一个唯一的标识码GUID，这个
标识码中含有用户机器中网卡的硬件地址，这个地址是全球唯一的。当一个Wor
d或Excel文档生成后，无论用什么名字保存，或者拷贝到别的机器上去，文档中的
标识码均保持不变。

    如果用户的机器不上网，这也许没什么，但在不远的未来，每个机器都可能
会在网络上传输自己的文档，这就有问题。此外，微软新的产品策略包括联机注
册，当用户使用Windows98或Windows2000的注册向导进行注册时，它会生成一
个硬件标识码（HWID）和一个微软标识码（MSID）并保存在系统注册表中，当用
户联机注册的时候，注册向导会把用户机器的硬件标识码传送到注册站点。

    这个标识码的存在虽然不能简单地猜测为恶意，甚至相反，这或许还是表达
机器物理地址的唯一方便、有效的方法，就像PentiumIII的序列号一样。但是毕
竟逻辑的推理在这里显得软弱无力。方法如何使用，为谁服务，是否损害用户的
利益，是不能从方法本身推导出来的，但却是必须回答的问题。

    有一种猜测，即根据这个标识号就有可能判断出每一个Office文档最初来源
自谁的机器，或者说谁是文档的作者。

    然而只要用户对外发送信息，就会有被人跟踪的危险。赞成的人表示，这是
对付恶意文档的法宝，比如此次“梅利莎病毒”的肇事者就是通过跟踪其标识号
使其显露原形的；反对者的理由也很充足：这将使个人隐私和言论自由毫无保障
可言。

    还有一种猜测是针对微软的。通过在文档中追加唯一标识码有利于微软的版
权保护，一旦时机成熟，微软可以通过这个标识码找出使用未授权软件的用户。
微软不承认这一点，声称注册向导把用户的标识码发回注册站点的问题纯属一个
错误，微软准备在近期发布的Windows98补丁版中修正这一错误，并准备对数据
库记录进行清理，不再收集用户机器的硬件信息。微软已决定发布补丁程序去掉
Office97中的这项功能，Office2000的正式版中不会再有该功能。这个“错误
”当然不是指软件设计中无意的“疏忽”，而是一种有预谋的设计思想。只不过
用户不答应，就将其解释成“错误”罢了。

    其实，这种尴尬的局面所蕴含的意味远不止是该不该这么做的问题，而是传
统的法律体系已经被技术的想象远远地抛在了后面。技术专家们的杰作通过网络
不断地提出种种试探性的难题，这些难题所指向的不但是法则或者制度许可与否
的问题，也涉及人们在这个全新的网络世界里是生存理念。

--
※ 来源:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.1.163]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店