大家通过网络上下载的 pc 软件,都很担心里面有没有带木马病毒之类的。或者会不会像某数字公司那样一上来给自己的电脑给装上全家桶,变成了肉鸡。
这个问题大家觉得应该如何解决?
我有个方案,是不是可以弄个分布式的应用市场。比如小众软件提供一个 PC 版本的应用市场,里面的软件都是经过小众软件的站友签名的,由站友保证这个软件他自己使用过确认没问题?这样子下载方便,使用也安心。
你们觉得这个方案可行吗?
1 个赞
不行,除非找一个公认的可信任的第三方来签名。
保证是指什么?
其实不行,就和开源软件一样,有开源做背书,但是该出问题还是会出问题。你没办法保障你用没问题别人用不出问题,就像没多少人去翻开源代码看有没有后门在用。这个门槛太高了。
我提的这个方案就是不想找单一的第三方签名。
因为现在不管是中国的互联网还是欧美的,单一的中心都特别容易出问题。
搞分布式的 web of trust 有个好处是不会被封杀。谁有信任度,比如在这个论坛上面待了十几年啥的,就可以签名获得大家的认可。封杀了一个,还有无数个呢。
但开源软件出问题非常少见。比如一个程序员维护了二十年的 openssl,你会认为他愿意放弃好不容易积累起来的 20 年信任度,往 openssl 里面加料吗?
一般是不会的对吧。
这种思路叫做 Proof Of Work,PoW,是区块链里面的一种思维方式。也可以叫做 Web of Trust.
虽然很少有问题,但这么一提就让我想到了 xz 和 free download manager
就算是 google 应用市场和苹果应用市场。从里面下载到有问题的软件的情况也不少。
国内的应用市场更夸张,各种电诈软件,各种盗版小说软件层出不穷。说不定还不如我说的这个方案呢。
我觉得你这个方案最大的问题是,保证软件没问题这样吃力不讨好的事情,谁愿意来做。
这俩我没用到不清楚,不过国内应用市场确实有问题的应用一大堆,看得我都心累。
我会提到 xz 和 free download manager ,是因为这俩我真的一直在用,虽然我使用的不在官方公布的版本里面,算是侥幸没踩雷,但确实就是让我印象深刻,所以看到这个问题,我就一下子想起了他俩 
pc软件用不着这么担心吧?
1 个赞
楼主说的不就是软件仓库吗?
但是闭源软件一般都不允许再分发吧,这是个难点。
审核+担保,成本>0,收益<0,风险>0
这种事我自己做不到,所以也不强求有个人或组织做这种背书
这种前提下,只能自行审核,尽量不用第三方下载源和盗版破解了
对于官网下载的软件,我默认为可信,因为能溯源,出问题后就算作者不背锅,好歹知道该骂谁
至于第三方下载的,都进沙盒里玩去吧
确实。我欠考虑了。这事对于提供信任的一方没啥好处。除非允许提供信任的一方可以加入自己的私货,或者提供收费推广,作为自己多年积累的信任度的变现。
其实换句话说,做开源软件的真的都是活雷锋。没啥好处还要响应用户的需求。听说还有因为不满足用户需求被用户喷的哈哈。
那新来的开发者做了一个新的软件,如何获得用户的信任?
拿身家生命保证。。。。哈哈,开个玩笑
這個時代的病毒,除了勒索病毒很囂張以外
基本上都是靜默狀態的,一般人除了依靠防毒
幾乎無法知道是否有毒
所以從"個人"信任的管道獲取軟件即可,沒有太多的方法
(就跟選擇在哪家店買吃的是同樣道理
若說有沒有什麼大概的發展方向,我認為重點在於移除
如果軟件有問題,應該盡可能的將之清理到安裝、使用前的狀態
要能實現這點,就需要搞一個安全屋(沙盒等)
確定裡面或外面的東西都是乾淨的
然後對其中一邊實施淨化,就像作業系統重點保護幾大核心功能那樣
但凡事都有例外,畢竟要與其他功能互動
就像打開了記憶體(內存)完整性這個功能,會害安卓模擬器無法使用之類的
搞沙盒的,就会有各种限制。像 android,后台服务都被限制住,会被杀进程。所以在 android 里面有很多事情不好弄。
pc 走向另外一个极端,几乎啥都不限制。所以 pc 软件的功能可以多种多样。
用户可以自己选择要安全还是要方便。
通过签名来验证成本太高了,再说谁签的名未必大家一致认可。
这个问题还是交给安全软件来管理可行性高些,其实我很想要一款进程拦截器,有新进程创建了就弹窗询问。
不过现在electron开发的软件多了,这么管起来也累。
用户体验上的广告之类的东西可能是开发者的收入来源,所以人家乐不乐意呢