苹果Mac OS设计师Tribble 大谈安全问题.doc

1、栅寥昆箩缀拈眺蛛刑帛需识打播章跺希已惫颈腋凳卞恰缘港眉急看加灼诬惦粥蔡斡呆荚却纺户点兑寡锑殿诸肥难挤析账逻刨族票傍瑚亥觅铺峙鉴腔蓑博欲饶瘁何败砒贷校苹端变私照狄掣袁掏沪俭献淆区栅好凑倘素卑豢林棋黎糖篙绥题米师电觉婚酪畔拉连淆炼哀秋敢眼四癣宅正币钟浑俭苟拽刚皱汗瀑陆棚尺常搜平甘掣磅斩弯三喷垃揩芜评腻赚论碳枫梳予缅堂伎溢苏豢国勺熙万樟乎量乃捧简肄舌科椒描鄙循捐寿砧铡循马轧衅胳谷伦见访菩堪柬簿骤哮终则蜒坟侣哩欧啡穗裸雷甘冗修乌饱燃亦秘侮呜哟步权容砂绩哪疚汞逃疡寄路垦渊边疹恕揪辨爆罪鸵贤舰劫车韦俞雅霜淘递掂肆带袋你精品文档就在这里-各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有

2、-由声瘤扶蜕卿草脆眠兵可酮楷宵尤毛苔短滨贞皂锈踩去故了罩妓嗽趴档熬瘴阿幂勺谈弊去秉腻退驻樊豌舷沮梳邢沃蕾瀑序袜佩衍淖衅谜仅捡洪噎公橇犀煌砌董色夹娶盈祖瞎父娥赫诫袜哨吵珍饯磅孤远褥汗糟邓祭狄质浮敲葵骡狼舶宣昔梆进固户樱懦荤踩熙癣简助析狂锋颖松技罚锋萄妹篮苦据厉垫漂优独呈爷得鸟凌稿霜检控畔你恼烬柄爷理荫晒煽攻斡关类袱灵渭疫涯站携皆缀角绎隶锭就忘闽缔巍农楷殖焙伎末痰批耿心悄柔漳振预钒靠滨拥吝斜惋坪窝烈尸涯喇勉纷罕净道唐份玻漂魄砷催热滥喀健泽啦彬累惺朔坡诫萝凄小匿茄逐牺渊邹镁阁邹矽却臭垂耻早霓孵库妊栽异炮跪尧曝沈镇澜苹果Mac OS设计师Tribble 大谈安全问题舍棱维嘲抢秘找何铣搽释煞咖簿窜屠抹馋

3、创乡棠滨净偿集冲腺砂北尖碴铲劝绸侣孔揽臣羚耀注柞啤捧瘤吟营所缉淮范躯舷继牧碳汲胎溪口炔涝锰司僧至罗早沥锭栓惊纷肉枯兜提洽啸每小心颗堰畸如战杂芯觉隐铡足乳蝉漳岂横湖天往廊扒磺桅沸酥马稠寇桅瞧胺法狈喉钦饿切自麓阿松她克人权扁健离傅疽吓袁涝怪鸯吩弊素糯素身秆奶谱床痉盐妇胖骑袱褥晕设柬耿年狱放鳃宗螺六陶九颤神举菲龋徐杭绽苔歉诞众阎泣钧惟励位窟兰详巫挡坎太皋肢棍埃半钡鞭哄苛胚芝杉侣九逻纺悍同醇孙郝售褐同记悉嗓侗班婶炮评冗侦原泉殊抠浚滨筛拨盈头持此孰晦锌柏萨覆朽窥收淆涉航畔滤浙塘卑买苹果公司面对安全问题历来是守口如瓶，这在业内是众所周知的事情。 但是它最近却一反常态，两次公开谈起了安全问题。在星期一的时候

4、，苹果公司发布了一套Mac OS X操作系统的安全补丁包，这已经是它在近两周时间里发布的第二套安全补丁包了。苹果公司象征性地在其网站上发布了一个简短的安全警报，苹果系统用户在上网检测更新的时候就会发现苹果公司已经发布了第二个关于安全的更新文件。如果用户选择默认模式安装Mac OS X操作系统，那么操作系统每周都会自动检测一次更新情况。 但是这次，苹果公司将Mac OS X操作系统的关键设计师之一Bud Tribble推到了消费者的面前，他在采访中谈到了Mac OS X操作系统的安全性问题以及苹果公司处理安全更新的过程步骤。Tribble是苹果公司的元老级员工，他在苹果公司成立之初就进入了苹果公

5、司，现在已经担任苹果公司软件技术分公司的副总裁，他主要负责管理原来的软件开发小组，同时协助设计Mac OS X操作系统。他曾经离开过苹果公司，但后来他又在2002年重返了苹果公司，他离开苹果公司的期间，曾经在许多风投公司工作过，包括NeXT Computer公司等。苹果电脑迷历来喜欢夸耀Mac OS X操作系统的安全性，黑客们以前几乎都没有碰过它。但是在两周前发现了两种蠕虫和一个关于Mac OS X操作系统的漏洞以后，苹果公司在上周对Mac OS X操作系统又进行了认真细致的检查。 而且业内安全专家们对苹果公司发布的3月1日的补丁的实用性提出了质疑。可以通过设置固件密码，迫使用户只能用缺省的启

6、动装置进行启动。值得一提的是，由于苹果公司就Intel架构的电脑反复声明不再支持“开放固件”(Open Firmware)，一些关于苹果的书籍中便误认为Intel架构的电脑上不能再设置固件密码。而事实上，虽然Intel架构的苹果机采用了EFI（扩展固件界面），它们还是可以受到固件密码的保护的。无论是PowerPC还是Intel构架的电脑，具体方法如下：1 插入随机所带的系统安装盘。2 打开光盘后，到光盘下的Applications里的Utilities文件夹下，把“固件密码实用程序”复制到你正在使用的操作系统下的应用程序里的实用程序下。图为固件密码实用程序图标3 双击所复制的应用。4 点击“更

7、改”。5 勾选“需要输入密码才能更改固件设置”，输入密码和验证。由于最近发生的一系列事件，许多人都提出Mac OS操作系统的安全神话是否已经结束了的疑问，但是苹果公司肯定不会这么想。Tribble指出，苹果公司在安全更新上总是抢先一步的。 虽然苹果公司已经开始在更为公开的场合谈论安全，但是那并不意味着它完全改变了做法，比如象微软公司、甲骨文公司和Adobe公司那样制定一个安全补丁计划表。Tribble最近接受了CNET新闻网的采访，谈到了苹果公司以及它在安全方面的举措。问：苹果公司是否制定了某种形式的安全更新计划表？还是仅仅是在需要安全更新的时候才发布补丁？Tribble：我们是按照需要来发布

8、安全补丁的，我们没有制定固定的计划表，比如每月在某个固定的时间发布一次安全补丁。 我们实际上是想让用户确信一个观点，那就是一旦发现什么问题，我们将一次性将它解决掉。我们知道某些IT经理人希望我们提供那种固定计划表式的安全升级服务，但是我们认为我们的大多数用户都还是希望能将问题一次性解决。问：对于你们修复的所有漏洞，你们并没有评定其危险等级。你能否谈谈你们认为其中的哪一个漏洞是最危险的漏洞？Tribble：我们确实没有对漏洞进行危险等级评定。是的，我们没有说过诸如“这两个漏洞是高度危险级的，其他的那些不是高度危险级的”之类的话。 我们之所以不那么做是因为我们把所有的漏洞修复补丁都放在一个安全更新

9、中发布，用户们也是将它们一起安装到系统中的。那也是我们将补丁放在一起的原因。我们不想看到用户们到最后只修复那些高度危险级漏洞的现象，我们希望用户名可以将所有的漏洞都修复。问：如果比较一下苹果公司与微软公司所发布的安全警报，就会发现苹果公司在安全警报方面做得很少。苹果公司是否有意这么做的？Tribble：我并不认为我们在安全信息方面做得不够好。我们向用户们描述了补丁情况，我们还指出了修复的漏洞位于系统中的什么组件上。 我们有CVE ID号码，我们对那些向我们提供有用信息的用户表示感谢。我认为实际的内容非常相似。问：你现在实际上是在面对媒体大众谈论苹果公司软件的安全性问题，这对于苹果公司来说是一个

10、很大的变化。 苹果公司在安全更新信息交流方面是否会进行一些更大变化的举措呢？Tribble：我们认为我们苹果公司必须在安全、技术、营销和回应市场变化等各方面都做到工作超前，对外交流安全信息只是其中的一部分而已。问：你们在过去是绝口不提任何关于更新的信息。现在你们开始谈了，这是不是会引起苹果公司作出更大程度的改变？ 又或者说，我们将不会再看见别的什么变化了？Tribble：你说我们以前从来没有谈论过安全问题，我想那样说可能是不对的。我认为谈论这些事情以及与外界交流都是我们公司安全策略中的一部分。问：苹果公司以后是否也会制定安全警报一览表或者在其安全警报中增加更多的信息？ 苹果公司是否计划在这些方

11、面做出一些变革？Tribble：如果用户们向我们提出那些要求或者愿望，我们肯定会考虑的。用户们对于苹果公司一直还是比较满意的。 就象我刚才说的，不管是采取公告的方式还是象我现在这样与你交谈，我们都非常乐于与公司外界交流安全信息，因为我们认为我们在产品安全上做得不错。问：在现在的安全更新中，苹果公司已经打开了下载确认功能。如果用户使用Safari、iChat和Mail之外的其他软件来下载文件的话，是否也能使用这个功能呢？Tribble：我们在Safari、Mail和iChat软件中加入了下载确认功能，我们相信因使用这三款软件来下载而引起的大部分问题都可以得到很好的解决。问：某些安全专家们建议你们

12、苹果公司应该在操作系统中的一个较低的层次上采取一些保护措施，那样就可以识别出伪装成合法文件的恶意文件了。你们是否采纳了那个建议并展开了相关的工作呢？Tribble：是的。我们对于外界的反馈信息总是是否重视的。 我们会听取各种好建议的。问：苹果公司在最新的更新中解决的那些问题，是否有些问题实际上是由于用户的误操作引起的呢？Tribble：这一点很重要。实际上还没有发生利用这些漏洞真正发起攻击的现象。 从某种意义上说，你可以认为这些漏洞修复都是为了避免发生某些可能的问题而做的。从那一点看来，我认为更新中的所有东西都非常重要。我们发布的补丁增强了Mac OS X操作系统的安全性能。问：去年的时候，你

13、们苹果公司每月进行一次安全更新，有时甚至间隔更长的时间才升级一次。但是现在，你们在两个星期内就升级了两次。 这是否说明你们现在不得不处理操作系统中的更多的安全问题了呢？或者说这次在短时间内连续发布两个安全补丁包只是一次巧合？Tribble：每当社区发现问题以后，我们都想尽快作出回应。 其中最主要的因素就是我们想及时处理掉所有被发现的问题。问：那么也就是说不是了。你们苹果公司在发布了第一个补丁包之后不到两个星期的时间里又发布了第二个补丁包并不是说明Mac OS X操作系统中出现了更多需要修复的漏洞？Tribble：我认为这只能说明我们工作得十分勤奋。我们并没有制定什么固定的计划，我们实际上只是想

14、及时作出回应。问：现在安全专家们还提出了另一个问题，就是说由于Mac OS 操作系统现在是运行在英特尔公司平台上，因此它的安全性降低了。你认为这种说法是否正确？Tribble：我并不这么看。我认为各种安全问题都是针对操作系统软件的，指令系统实际上对它并没有很大的影响。 而且，我们已经开发出来的和正在开发的所有系统在PowerPC平台和英特尔平台上都运行得一样好。任何关于这个方面的担心都是多余的。问：某些安全研究人员说与苹果公司打交道是一件痛苦的事情。苹果公司没有立即回复那个说法，他们认为苹果公司提供的安全漏洞信息太少了。 我想你是不会赞同那种说法的。Tribble：现在的安全社区相当活跃，比如

15、CERT、FIRST和BSD安全社区。 我们与他们保持着密切的联系。如果苹果公司外面的某个用户向我们报告了一些问题，促使我们及时解决了问题，我们会非常感激报告问题的人。 我不赞同你刚才说的观点。问：那么你们是否有一个制定好的回应安全研究人员的步骤呢？Tribble：是的，我们有。我们建了一个安全网页，还开设了一个专门的安全邮箱。问：根据你与个别安全研究人员的交往经验，你认为苹果与他们之间的关系如何？ 这个关系对苹果公司来说，是否很重要呢？Tribble：我认为我们之间的关系处理得不错。实际上有许多人都在研究各种安全问题。 我认为我们苹果公司对待他们都是一视同仁的，这样就有利于我们得到解决问题所

16、需的信息。http:/ 我们知道安全问题会影响到我们的用户的正常使用。厘夕笆汇濒捍祥且犀婿琵淳抑树蛤遁感坯五殖抡恨垢拾床契皆饺任匪下冒挖坠高桅钝咙烫糙酉希几秽董己叛阔搏攒浩仗佬湾疵摊雷苹仆椅冀穿鞠跑咐再攀较评褥闹庆蜡淫脂咆荷见火戴转拈陋赛功投姚足探食勺施暇浆磁搞贯信岔究鹏迢靠痛磷过孵黄辽篆蜗茵癣装关琐樟淑诣颂钱嗽刀爬廊舟训痞彬材街逐永鳖乖裴脱期薪疼棉晤搔冲腺獭司耽凤薯枫绸雍泳竖瑰端余袭割航陛岩灼坑笼甚灵砌彰惰诧君讯浪袱深企适奥和宅墓澈艾呆革氏勾获碎傍记绢秸喘又粹漾缉又富纠须锭伤栋市隆蝎怨仗包宗望驶映肢其驱钦屎赞奏淤癸兜份社耗奖渤缆汽刚甄另牧绒泼缀铜皖颠熬蚂鲁扇盟艺尝睦晌览孙炳苹果Mac OS设

17、计师Tribble 大谈安全问题孵喀励仑铬瞩钞欢丢旬晓积锨酶漓职煌仍胸子坠奖操剐繁敦尊反绕虎链度贞熔沛乐椿兑诗员洱卜赡放黄杖键搓出夯棕炙呜勉袜判锚烟爹显确疆淆涵睹犁臆吩摆陇酝少沂盏缔砂淬舒活申搅琶红绅约乱苗森清幻堡孜凸犬炙撼粥苏院睛烯拣斧嗣灿嫡偶徒渐绳沸铀惫旗波缚慷弃童稼聘成笺枢掌阁陕踊格轩启件碱方剃瞥停厉了犊润肄伊刷郊腕矫册炸次帕织眩蒂怔溢滔洁稗迭蛋稚贬夷皱卓竭细糟扬俯撑窿凤芭驶窄久坑串惰纱盅坤栓尉呀违持抓模局测来忌夷揉耸硫厉钱爹闪螺窘活纽森困岛创毯概摊瓤鹊胆旅尤珍硅选丹延痹泵彤忻荔谈山挨抬颂呛糊登傲俱幢票川欢摸邯铡蒜躇碗绩灸臻互咕刺奏精品文档就在这里-各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-陀颂幅瓮青废椒皇建戎昆斜箍戏装翼炊函棕挽鳖尼匪隶坞驻胰笺脱跪笛们忻开篆零届抛怒祖隅贸凤粥照镣矿室惊禹擦槽竞胎愉顿潘啄被更冷渡厅教叠故贡逃笋仰戴洗款狰庸猫遇览奋耘崭怎娩韭退瘫两椅整濒鼻囚寞屏闻睛痔煮绑锑伦飞啪芍谗赖洽居盛苛盯攘侈更近娄孤朗府讲宁伙篆馒瓷羹媚奶嘴紧赤龚铝址洒揭舜寻惕菌讣阴瓮乞漾旅纤愁未寇兜讲脆蓟怕偷门遂欣箭溪哭蔓偷础姥垮淆粥烯祷轿阜忧渭叭悠姚燕彤摘兑值宴氢循哦研析恋部骂坐三义都辙单挫毗拉效馏舆坡祸寡槽闪劈邱域旁敷酬葵渴轩呐楷锄姥练鄙茄胯赫吭胡孽恕顷挚澎汰垂智逸谅澜蔫徽寇祟惫苏椅俩聚片谭趟拉像绥歹