「 我們是微軟,反抗是徒勞的,你們會被同化! 」
站住
證件拿出來
不知道差友們中有沒有 Oculus Rift 玩家?
它昨天出大事兒了。。。
Oculus 是最早開始做 VR 遊戲頭顯的廠商之一,目前有很多 PC 平台的 VR 遊戲愛好者有這玩意兒。
昨天
用 「 我在玩兒 VR 」 作為沒接你電話的借口,那你看到這個消息以後可以讓他跪下了。。。
昨天所有 Oculus Rift 頭顯不能用了
要用 Oculus Rift 玩遊戲,電腦上得裝個配套軟體。
但這軟體昨天更新好以後罷工了,導致全球 Oculus Rift 玩家不能搞虛擬現實遊戲/
小電影
了。至於這次大翻車的原因也被曝出來了:
安全
證書過期。
一旦安全證書過期不能用了,這個軟體啟動時候會直接被 Windows 拒絕運行。
安全證書是軟體開發商的信用證明,證明這個軟體真的是自己發布的。
支付寶安全控制項安裝的時候,
能正常顯示 「 已驗證的發布者 」
那軟體開發商為啥要 「 證明自己是自己 」 呢 ?
假設黑客寫了個假程序,偽裝起來打包發到網上
,那麼用戶裝了這些東西,就會很危險。。。所以說開發商需要給軟體自證,來保證吃瓜群眾不會中招。
對不確定軟體,安裝的時候對話框是黃色
不過這個證書不是開發商自己搞的,
他們要向專門的證書頒發機構申請一個證書,並且在軟體打包以後加上一個 「 數字簽名 」。
差評君為了易讀性,撇開中間的加密過程不談,簡單的概括這個證書的作用就是:
檢查這個軟體的版本對不對,有沒有被修改過。
通常來說,
數字簽名很難被模仿。
但很難不代表不可能
,因此有的廠商不會用同一套證書和簽名很久,有效期越短說明更新得越快,也就越安全。也有的廠商選擇很長的有效期,這樣就盡量減少像 Oculus Rift 昨天翻車那種事情發生的可能。
這是個工程問題,在各種妥協中找最優解而已。
不過這個數字證書還是容易產生不少問題的。
首先,
這是一條信任鏈,頂端就是最高的證書頒發機構,也就是 「 根證書頒發機構 」
,使用這套系統意味著大家都無條件信任他們。
現在微軟一般都會在系統中提前安裝好主流的頒發機構,這種關係很容易發展成微軟和根證書頒發巨頭的 PY 交易。。。
這個潘多拉盒子就擺在那裡,
過於中心化的管理會存在這樣的隱患。
賽門鐵克
( 殺毒軟體諾頓的開發商 )
曾經就爆出過這種醜聞,谷歌 Chrome 之後不再信任它頒發的證書了。
第二個問題是為了搞數字證書,
開發商要攤額外成本。
因為負責的證書頒發機構真的要去仔細審查開發商,還得配一套加密工具
( 公鑰和密鑰 )
給開發商,來來去去也要成本。當然,有的只負責審查的機構會便宜一些,不過這樣一來開發者還得自行研究證書加密,攤到開發人員上也算是一筆技術成本。
SSL 證書,有了它才能從 HTTP 變成 HTTPS,多一層加密
好比管個鑰匙,它很重要,你沒了車鑰匙開不了車,沒了家門鑰匙回不了家,
你沒證書軟體不能運行,因為系統定期檢查證書過沒過期。
但你肯定也會在處理鑰匙的時候出過問題,比如說車鑰匙沒了不能上班,鑰匙被偷了得換鎖,
或者說,你現在能馬上想起你每把鑰匙放哪兒了嗎?
證書問題就和上面的情況一樣容易出問題,但一旦沒搞好,比如說像 Oculus 一樣過期了,那懵逼的可是全球的用戶。。。
經過緊急搶修,他們現在搞定了
更有的開發者,比較傲嬌,
非得有 「 我可不可信我說了算 」 這種心態,自己給自己頒證書,比如說鐵道部,比如說曾經的各大銀行。。。
12306 為了安全,不讓黑客劫持你訪問他們的官網,的確需要搞數字證書。
可他們畢竟是國企,不能輕易相信別人,只好自己給自己頒了。
不過鐵道部這個其實做得也沒錯,
現在幾個主流的頒發機構都在老外手裡,這鐵路又是國家資源。。。
比如說前文提到的賽門鐵克就是個美國企業。
不過這樣還好,大不了你不信任可以不裝,結果就是用不了服務而已,就好比你家要裝修,你不給裝修隊鑰匙。
但除此之外的特例,我們一般用戶不應該沒事兒亂裝根證書,亂髮你家鑰匙,
也許今天人家是來裝修的,明天就把你家當都給撈乾凈了。
比如在微軟家裡,你不裝他和他基友一起搞出來的這些證書,想安心用個軟體很難了。。。
差評君和你講了這玩意兒,希望你以後可以稍微看一眼安裝來源,互聯網時代雖然方便,但壞心眼兒的太多了!
「 這玩意兒雖然有隱患,但是是現在的最優方式了。。。 」
※蘋果開放 iOS 降級通道,但是……
※人家怎麼就能靠一篇論文一夜暴富呢?!
TAG:差評 |