微软一名主管表示,Vista操作系统里的某项安全功能,是刻意用来惹恼使用者(annoy users),以便向第三方软件制造商施压,敦促他们制作更安全的应用程序。
微软产品部的David Cross是集团计划经理,职掌使用者帐户控制(User Account Control;UAC)设计。这项功能一旦启动,就会要求使用者在标准使用者模式下执行Vista,而不具管理员的权限,所以当他们试图安装程序时系统会出现提示信息。
Cross上周在RSA Conference上表示:我们把UAC放进(Vista)平台的用意,是惹恼使用者--我是说正经的。用Windows前几版的电脑时,大多数的使用者都有管理员权限,而大多数应用程式都需要管理员权限才能安装或执行。
他宣称,惹恼使用者一直是微软的策略运用,目的在迫使独立软件商(ISV)打造更安全的程序,因为不安的程序可能触动系统提示(prompt),降低使用者执行该程序的意愿。
Cross说:我们必须改变这个生态系。UAC将改变ISV生态系,应用程序会变得更安全。这是我们的目标:改变生态系。事实上,引发提示讯息的应用程序愈来愈少。80%的提示由十类应用程序(10 apps)所触动,有的是ISV发布的,有的是微软发布的。目前有66%的sessions不会引发提示。
他说,所谓使用者都把UAC关闭的说法不实,因为微软收集到使用者许可的回传资料显示,88%的使用者都使用UAC。他也驳斥所谓使用者不先细看系统提示就盲目接受的说法。
Cros说:说使用者一路点击:是、是、是的说法,是一种迷思。有7%的提示被取消。使用者不只是一味选“是”。
安全厂商卡巴斯基曾严词批评UAC,去年3月指责这项功能让Vista变得比Windows XP更不安全。
但在今年的RSA Conference上,该公司似乎改变说法。卡巴斯基美国资深产品行销经理Jeff Aliber说,Windows的攻击面积(attack surface)广大,切入点(entry points)有一些。若想缩小攻击面积、促进安全应用程序开发,就必须是棒的。
在Vista推出之前,卡巴斯基曾于2007年1月发表报告指出,UAC效果不彰。该公司指出,许多应用程序执行无害的动作,但看起来却可能是恶意程序,导致UAC闪现安全警示,而使用者只得对警讯视若无睹,才能让程序继续执行,或干脆把这项功能关掉,免得抓狂。
网友评论