Larry Osterman系列--拒绝彩蛋

admin 2022年4月28日12:49:31安全文章评论14 views1065字阅读3分33秒阅读模式

2005.10.20

Jensen Harris今天的blog说他在Radio Shack TRS-80的BASIC解释器中发现一枚早期复活节彩蛋。鲜为人知的是,MS-DOS也有过彩蛋,不多,但确实有一些。据我所知最早的一个位于recover命令中。

recover在使用过程中有个提示,continue (Y/N),如果在此Ctrl-R,就会输出

<developer email alias> helped with the new DOS, Microsoft Rules!

据我所知,无人指出Ctrl-R这种触发方式。但Peter Norton在PC-WEEK写过一篇相关的,他用strings命令发现了recover.com中的上述字符串。

如今,向任何微软OS中添加彩蛋都会被立即叫停,不太可能再看到新的彩蛋了。

2005.10.21

许多人不明白,为什么操作系统部门有"no Easter Eggs"政策。

如果你仔细想想,这并不奇怪。可信计算是说你可以信任计算机上的内容,这部分意味着计算机上绝对没有计划外内容。如果软件厂商不能阻止它的员工在软件产品中私自加入未文档化的特性,即使是复活节彩蛋这样相对温和的特性,那怎么保证员工没有加入其他未文档化的特性?

强制审查产品源代码并不能保证什么。首先,即使你确实能拿到源码,也没有人会在产品部署前审核超过1000万行的源码。其次,审查源码没有意义,肯·汤普森在他的图灵奖获奖感言中非常清楚地说明了这一点。

一旦失去客户的信任,他们就会离你而去。

很多企业、政府手头有微软产品源码。设想他们看到了点啥,尤其是当他们被告知这是个"特别的惊喜"时,他们唯一的反应就是去找更多的"特别的惊喜"。

不仅如此,当复活节彩蛋中存在安全漏洞时又会如何?这并非不可能。我们怎么向客户解释蠕虫在互联网上传播只是因为开发人员的虚荣心?

为NT 3.1设计的复活节彩蛋出了幺蛾子,原计划仅当有人输入"I LOVE NT"时触发,但实际上输入"NOT EVIL"也能触发。当我与Raymond Chen讨论此事时,他说在真实世界中他的IMAP客户端就误触发了彩蛋,对此非常不满。

用户反馈表明,他们对来自微软的彩蛋并不买账,相反,有些厌恶。出乎意料的消息、声音或图像展示了程序员的技能,但在其他方面毫无用处。这就是安全补丁需要这么长时间才能发布的原因吗?

scz:

微软一票资深程序员在反思彩蛋文化,大陆某些不着四六的软件开发人员还在为计划外预埋的彩蛋沾沾自喜,你特么吃饱饭没事做是吧?

原文始发于微信公众号(青衣十三楼飞花堂):Larry Osterman系列--拒绝彩蛋

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月28日12:49:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Larry Osterman系列--拒绝彩蛋 http://cn-sec.com/archives/953635.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: