這樣的開源應用你相信它嗎?

本文由碼農網 – 唐李川原創翻譯，轉載請看清文末的轉載要求，歡迎參與我們的付費投稿計劃！

很多你在使用的軟體都有著安全漏洞。

任何讀過馬修•加勒特作品的人都知道很多專門用來銷售的軟體是不靠譜的。一些Linux倡導者宣稱開放自由而且免費的軟體比封閉的專門用來謀利的軟體更安全，然而這裡有一個公開的祕密，那就是大量受歡迎的Linux桌面應用軟體有很多已知而且沒被修復的漏洞。我很少聽到有人討論這個，就好像它不能被討論一樣，可是它困擾了我很久。

通常漏洞是不會報告給使用者的，因為沒有人很在乎。

這裡有一個很簡單的遊戲：選任何一款能使HTTP連線困在老版本WebKit的任何一版的應用程式，然後開始遊戲，我們將看到下面基本的漏洞:

• 使用安全傳輸層協議失敗，當連線時(注意:GNOME(開放原始碼的重要組成部分) Music，GNOME Weather;這些是唯一我在這裡提到不用WebKit的應用)。這就意味著該應用沒有安全。
• 執行安全傳輸層協議證照驗證失敗(Shotwell(是一款Linux下的相片管理軟體)和Pantheon Photos(類似Shotwell))。這就意味著這個應用沒有安全性保障來阻擋活躍的黑客。
• 在子資源上執行安全傳輸協議證照驗證失敗(Midori(跨平臺的網頁瀏覽器)和Xombrero，Liferea(三者類似)).因為這些站點經常向子資源裡傳送JavaScript指令碼，這也就意味著活躍的黑客能夠在不會被發現的情況下通過改變指令碼來完全掌控這個頁面(糾正:使用JavaScript指令碼是可以的。).(遺憾的是，Epiphany在3.14.0版本之前通常也面臨著這個問題。)
• 在傳送HTTP標頭檔案之前驗證安全傳輸層協議證照失敗(private Midori bug， Banshee(音樂播放器))。這洩露了應當受保護的cookies資訊，通常會導致黑客在一個網站上能夠很順利的獲取你的使用者賬戶資訊。另外，它還洩露了你正在訪問的那些HTTPS應該被保護的網站資訊。(糾正:很遺憾，Epiphany prior 在3.14.0版本之前面臨著這個問題。在WebKitGTK+裡的WebKit2 API在2.6.6之前也面臨著這個問題，漏洞: CVE-2015-2330。)

除特殊說明外，上面列出的所有軟體的最新發布版在寫這篇文章的時候，仍然能受到攻擊，即使是在很久以前這些漏洞幾乎被全部發布。除了Shotwell，沒有人修復這些漏洞。也許致力於這方面工作的人沒有人在意去修復它，或者也許在這方面工作的人沒有人有這個時間或者專業的知識去修復它，或者也許根本就沒有人從事這方面的工作.這在開放免費自由的軟體界很常見。

至於Shotwell，在git裡已經修復了這個問題，但是也許它永遠不可能被髮布了，因為不再有人為Shotwell繼續工作了。三個月前我通過GNOME經銷商列表找到了Shotwell的經銷商並告訴了他們Shotwell的弱點。

我們正式機構和釋出者交談，並且建議他們更新一個git快照。大部分發布者根本不理會。這就是一個很典型的例子;據我所知，除了Fedora所有穩定釋出的Linux版本仍然容易受到攻擊。如果你想玩上面的遊戲，通過檢測那些流行的桌面軟體你應該很容易在我的列表裡
新增新的。最好的開端是去檢測Liferea(閱讀器軟體)或者Xombrero(假設它是一個安全受關注的瀏覽器)是否在傳送HTTP標頭檔案前執行安全傳輸層協議證照驗證，或者檢測Banshee是否在子資源上執行驗證，從原理上說，那些有缺陷的應用很可能有其他類似的缺陷或漏洞。(我沒有檢測過。)

在一份相關的記錄上，很多應用使用不安全的依賴關係。很多流行的GTK+應用都困在一個過時而且不宜用的WebKitGTK+版本里，例如，很多流行的KDE應用使用QtWebKit，然而它卻過時而且不宜再被使用。這些不宜再被使用的WebKit版本往上追溯將會有遠遠超過100行的遠端程式碼執行漏洞要修復，然而它們也許永遠不會被修復。(100是過低的估計;如果QtWebKit的漏洞數量很多很多我一點也不驚訝。)

我不是要宣揚那些封閉拿來賣錢的軟體通常比免費開放的軟體更安全，因為那絕對是不正確的。例如那些封閉軟體開發商，包括那些你也許認為比較瞭解的有名的大公司，同樣在QtWebKit的基礎上進行大量的商業開發軟體。(這是不道德的，但是大多數的封閉軟體開發上不關係安全。)那不重要了，因為不管怎樣封閉軟體開發商很少提供全面的安全更新。(如果你的Android手機仍然能獲得更新，猜猜看:他們很膚淺。)少量傑出的封閉軟體開發商 是真的關係安全問題而且致力於保護他們的使用者資訊保安，但是他們是大多數中很少的例外，而不是普遍現象。

我們不能把免費開放的軟體做得更好是我們的恥辱。