Vista為何那麼機車：安全真是必要之煩嗎?

| | | | | | 57則回應

    

站在軟體行銷的觀點，資訊安全並不是一個討喜的賣點，因為人們總是「碰到才知道」。賣安全很像賣保險，都是在藉由風險來銷售安心感。不同的是，人世間的生老病死舉目可見，但所謂的病毒蠕蟲駭客，對於一般人來說，那些「壞東西」若有似無地存在黑暗的數位世界裡，並不是那麼真實，只有自己遇到了、丟了資料才會感受到資訊安全的重要性。那時才會抱怨微軟的平台漏洞一堆，再到處打聽那一牌的防毒軟體最有效。

而微軟幹嘛那麼辛苦花五年研發出一個新產品，而最大的特色竟然是「安全」？虧它還是一個被認為很會行銷的公司！

對其它的軟體公司而言，安全可以變成產品，成為行銷賣點，但對於微軟這個平台公司，安全是責任，即使吃力不討好，還是得做。

XP 安全性不夠嗎？防毒軟體、 防火牆這些東西都已經一層一層加上去， MIS只要注意一下安全性通告， 上上patch就好了啊。怕隨身碟帶病毒進來？ 三申五令加上把 USB封起來總可以吧！ 怕員工上到釣魚網站洩密中毒？ 不讓大家連到外部網站應該就没什麼問題了。 擔心硬碟裡的資料Crash或不小心掉在外面被竊取？ 再買一些third-party的軟體來做備份及加密總夠了吧？

還是有事？難道就此認命？

我們可不能「認了」， 因為駭客的功力不會停留在7年前，他們會一直精益求精。作業系統本身的漏洞微軟自己可以補， buffer overflow 的問題發現一次就補一次。但這些都只能治標， 不能治本。

XP 較為簡單的權限設計， 讓後門程式只要一進入系統， 就可以刪掉系統檔案、 竊取個人資料。XP比較像是老公寓的設計，只要住戶一不小心大門没帶上，讓壞人進來這棟公寓，都可以到大樓裡面為所欲為－潛入各個住戶偷銀兩細軟，甚至到機房水塔這些公共設施搞破壞。而防毒、反間諜程式軟體，比較像是在大門貼上通緝犯照片，或是大樓內部到處裝置監視器來補強，但這個公寓本身的防護結構，基本上還是鬆散的，特別是針對「熟客」，而電腦中的熟客，就是你－User。

所以我在上回說到，如果從User角度看，XP夠安全了，因為觸目所見都是由防毒軟體構成的監控面。但從駭客角度來看，還是到處有機可乘，特別是透過「熟客」來做一些事。

安全是必要之煩

到了Vista，在安全性方面最大的改變就是洋葱式的多層防護，像是在大樓入口設了管理崗哨，看到住戶帶客人進來，總是囉嗦地多問幾句，而機房啊這些公共設施連住戶也去不了，大家自然會抱怨連連了。

使用者帳戶控制(UAC)就是這麼一個吃力不討好的東西，出發點是為了防止惡意程式的肆虐，但也因為把UAC的同意權交到使用者手上，問個不停，所以就有「Vista不好用」的說法傳出； 再加上大部份的應用程式的安裝及執行，都需要透過UAC 予以確認， 取得管理者權限才能進行，於是乎又傳出 「Vista 相容性很差」的說法。

其實，在應用廠商採用新的使用者控制機制來改寫應用程式之前，面對那些來源無虞的應用程式， 你大可以按右鍵， 以「系統管理員」身份執行，就可繞過所謂的「相容性問題」了。另外，在Vista SP1中，UAC也變得不那麼囉嗦了，看到住戶帶著陌生人進來，問一次就好了，帶著熟客進來，點個頭就放行了。

Vista 除了導入了使用者帳戶控制、IE7保護模式這些安全機制外，原本立意良好的個人雙向防火牆、Windows Defender這些免費工具，由於角色與一些第三方安全工具有著部份重疊，也遭受撻伐，質疑這些內建工具的專業程度，並強調應該「專業分工」，言下之意是：「微軟你只管做好你的作業系統，提供一些好用的功能就好，安全工具就讓交給我們專業的廠商吧！」。

安全可以分工嗎？

基本上，我同意專業分工的概念。Windows就是靠著開放規格，跟廣大的軟硬體廠商的分工而贏得市場，而資訊安全是一個廣大的領域，從系統開發的程式碼安全到三個A－Administration (管理)、Authentication(身份識別), Authorization(存取控制)，再向外延伸到內容安全及網路安全，包含不同廠商的解決方案。

問題是，使用者端又往往是防護網中最薄弱的一環，身為使用者端的作業系統，真的很難跟專業廠商劃分地一清二楚。安全問題環環相扣，真的出了事，一般使用者很難去鑑定原因，不論問題出在哪，是作業系統也好，或特定工具廠商身上也好，最後仍會歸咎回微軟，把安全責任推給別人。

這也是為什麼Windows要持續強化自我防疫能力，讓使用者在還未安裝任何第三方安全軟體前，也可以有基本的安全防護網。某些廠商特意地與Vista內建的安全工具來做Oragne-to-Apple的比較，其實也是不必要的；微軟像建商，把房子蓋了起來，裡面總要有門禁系統，要有基本的監視器，而住家當然可以自由選擇要不要加裝三層防爆門，或是多僱用一些保全人員吧。如果一個房子裡什麼基本的安全設施都没有，會有人願意搬進去嗎？

套句教科書上的話 ：「 Security is Y2K without the deadline」。 資訊安全問題就像没有期限的千禧蟲，微軟身為最大的作業系統業者，明明知道Security 並不是個討喜的功能，還是得硬著頭皮面對它。剩下的工作，就是不斷地宣導，確保達到「安全性」及「便利性」的平衡。

「其實我也愛XP」後記

上周刊出的「其實我也愛XP」是「打開Windows說亮話」專欄的首篇文章，為後續的系列文章提供一個自認為平實而真誠的開始。面對某些較「直接」的回應老實說並不好受，我數次想直接在網路上直接回應，但終於因為擔心流於口水戰而作罷。

做為微軟的產品經理，我想我能體會大眾對於「過度行銷」的感受，面對以各種型態出現的產品資訊 – 廣告、新聞稿、網路活動等等的轟炸下早已疲乏、不耐，特別是針對一些原本期望很大的產品。一旦使用經驗不如預期，自然反彈更大，甚至完全否決一切相關的資訊。這些，我們都可以理解，也更激勵我們應該做更多有效的溝通。

身為Windows的長期使用者，享受科技的同時，也承受著追趕科技所帶來的壓力；身為Windows的產品負責人，有幸比一般使用者能更深入了解產品資訊及市場定位。「打開Windows說亮話」的系列文章，並不是網路廣告。從第一篇到最後一篇，我都會自己一字一句親自構築，不會假手任何的專業Writer，只期望拋磚引玉，在幾個大家所關心的議題上，發抒一些發自內心的論述，進而從各位訴諸理性的討論中，得到寶貴的使用者回饋。當然，對於大家的意見，我們也將持續誠心聆聽。