纠正几个错误观点:
- 开源浏览器爆出的漏洞少。(这句话经常被歧义为“开源浏览器漏洞少”,而后者表述含糊是无法单凭一句话说清楚真伪的)
- 闭源浏览器更安全,因为高危漏洞总数少。
IE爆漏洞,外国人人自危,中国风平浪静,当然这是假象。如果大家也有幸生活在IT的世界中,周遭不绝于耳的 中招 之声也够让人心惊的了。
只是真正利用漏洞的攻击者大多只是参考现成的代码,并不具备多高的编写水平。大批IE7、IE8用户得以拥有一定的免疫概率,开源浏览器们因此错失了一个让统计数字更美观的好机会。
但反过来说,之所以刚刚爆出漏洞就能流传如此广泛,很可能漏洞早就发现了,等到工具、代码、宣传的准备都到位了后才有人爆出这一漏洞。
我觉得这正是闭源的IE在漏洞上最大的软肋,尽管高危漏洞总发现数相对较少,但是发现的人往往不怕别人也发现然后抢在前头发布,可以慢慢调试各类漏洞利用代码。最后容易导致漏洞一经爆出,现成的攻击一下子威胁了大批计算机。
反观做开源真是“辛苦”,天天改漏洞写得累、收入还没微软高,这些且不说,有时候免不了还得被人指责怎么这么多漏洞,写的东西安全性不过尔尔,等等等等。
对于做开源的这些人、尤其是能让他们生存下去的社会环境,实在让我敬佩 Orz