自从Windows 7的UAC漏洞被公布以来,有关UAC的讨论就从未停止过。昨天,国外著名网站Ars Technica发表了题为“观点:Windows 7中的UAC一团糟 - 修复或者放弃吧”的文章再次引发了有关UAC的争论。
事件回放
今年1月底,国外知名博客作者Longzheng发表文章称发现了Windows 7中UAC的重大漏洞。在文章中,他介绍了该漏洞:
“在WIndows 7 Beta中,UAC的默认状态为“只在程序对系统作出更改时提醒我”和“当我对系统设置进行更改时不提示”。那么,系统是如何区分这两种操作的呢?数字签名。那些管理Windows设置的软件都有特殊的Windows 7数字签名,因此,当用户通过控制面板更改计算机设置时,UAC不会弹出。
而Windows 7的罩门就在于UAC设置同样是系统设置的一部分,因此,由于默认的UAC设置,当用户对UAC设置进行改动时,UAC也不会弹出。现在大家都知道问题所在了吧。也就是说,只要用软件模拟一系列的键盘操作,就可以轻松关闭UAC,这就为病毒、木马大开方便之门了。”
随后,在2月初,Longzheng再次称UAC问题扩大化,这次恶意软件可以将自己的权限提升至超级管理员权限,而不会触发UAC,也不用关闭UAC。而事实上,恶意软件甚至可以悄无声息地关闭UAC。这对微软而言,可不是个好消息,对当前的Windows 7 Beta用户也不是什么好新闻,至少已经存在安全风险了。对此,他建议所有Windows 7 Beta用户将UAC级别设置为高以减少安全风险。
现状
这样的情况让微软陷入了一种两难的境地,由于上述漏洞的存在,目前的UAC远不如Vista下的安全;但如果微软为了用户安全进行修复的话,那又势必会影响用户使用,招致Vista时的恶名。有一种解决方法就是,微软在这两者之间找到一个平衡点,但是...显然不是那么容易的事情。
Ars Technica认为,微软应该在Windows 7正式版发布之前尽快修复该漏洞,如果能保留易用性最好,如果不能保留也应该以安全性为重,不然整个系统就与以管理员身份登录的XP无异了,这也违背了UAC设计的初衷了。与其这样还不如干脆就撤销掉。
一点感想
现在的问题是,微软迫切需要一款系统来挽回Vista带来的损失,拯救微软,帮助其度过难关。那么,保留Vista样式的UAC是否会导致用户反感?毕竟,病毒不会天天找上用户,但UAC几乎天天会弹出。当初没有UAC,Windows XP也卖得很好;有UAC的Vista却表现不佳,尽管UAC不是最主要的原因,但微软是否会冒这个险就很难说了。是以用户利益为本还是以自身利益为主,这就要看微软的决定了。其实如果用户可以理解并亲自体验一下的话,肯定会赞同以安全为本,使用Vista近两年,一点没觉得UAC带来了多少烦恼,多点一下鼠标换来安全性上的极大提升,我觉得比某些**杀毒软件强多了
【编辑推荐】