一种可能的针对云端的监控

xsser | 2012-11-27 01:04

最近360的隐私事情闹得很火,也有很多人质疑360存在后门行为,我也觉得定期去下载一个文件并且执行的确是让人觉得蛋疼的事情,但是的确很多的软件都有这个功能,每次打dota就需要从服务器上更新点东西下来执行exe进行升级,但是这的确是个危险的事情,因为:

1 下载的exe并不可信,而exe允许了直接控制客户端的能力,很容易被病毒和漏洞利用

2 即使下载的exe可信,但是很多公司并没有赢得用户的信任,很容易被怀疑是下载后门

而所有类似的这种云模式都会存在这种问题,一个比较好的方案是要求软件对于互联网通讯和联络模块经得起审计,可以要求:

1 要求被签名证明文件的可信性

2 所有更新的文件应该有记录和备份,随时可以被审计

并且确保整个机制的实现是可以被外部监督的,这样这个世界会好一些吧

:)