Java安全更新捆绑第三方软件遭质疑

智慧棒

过去，Sun通过在Java安装程序中捆绑第三方软件的方式与其他厂商合作；现在，甲骨文并未摒弃这一传统，而且第三方软件还被捆绑到Java安全更新程序中。在上周的一个会议上，甲骨文OpenJDK团队负责人Doland Smith暗示说，他们不会在短期内停止这一行为。Java更新程序（包括紧急安全更新）不仅修补漏洞，还兼推广其他软件欺骗用户安装，这些软件被批评者称为“垃圾软件”或者“流氓软件”，甲骨文也因此再次受到质疑。

　　甲骨文似乎不希望外界讨论这个话题。Smith在上周的会议上致电JUG（Java User Group）负责人，引用合同义务阻止他们讨论有关捆绑软件的细节，并且暗示短期内该策略不会改变。Smith在电话中表示，对于这样的商业合作关系，在处理诸如沟通、收入确认和其他类似事情时不仅要考虑公司内部策略，还要兼顾商业合作伙伴，遵守签署的协议。

　　目前，Java的Windows安装程序捆绑了Ask.com浏览器工具栏。除非用户很明白地在Java安装界面作出选择--即明确地“拒绝”工具栏的安装，否则工具栏会被自动下载安装，并且浏览器默认搜索引擎也会变成Ask.com。

　　上述行为激怒了ZDNet资深Windows博主Ed Bott，同时也引起了哈弗大学副教授Ben Edelman的注意，Edelman同时是广告软件、网络欺诈和互联网隐私方面的专家。1月22日出版的公开刊物上，二人对Java捆绑Ask工具栏一事公开讨伐。

　　Bott发现Ask.com工具栏存在欺骗行为，即该工具栏并不是Java安装完成时立即安装，而是在其完成10分钟以后。“我从没见过一个合法的程序采用这样的行为，”Bott推测这些技术被用来应对技术精明的用户，试图隐藏工具栏的安装过程。

　　Edelman则更加尖锐地批评了甲骨文和Ask.com的工具栏安装程序，他认为后者的行为完全是欺骗用户。更糟糕的是，用来修复最近被不法分子利用的零日漏洞的Java关键更新也被用来捆绑工具栏。Edelman强烈地表示了他的不满，“甲骨文竟然利用为安全缺陷打补丁的机会向用户推送广告软件，这种行为增加用户的不信任感。”

　　然而，甲骨文有它自己的理由。

　　Smith认为这是商业行为无可厚非。“确切地说，这不是安全问题，而是商业业务上的问题，”他在上周的电话中说。“之所以和安全产生联系，是我们明显地在向Windows平台推送新安装程序。但实际上这压根不涉及安全问题。”

　　Smith对甲骨文的做法作了辩护，他说这是甲骨文延续过去Sun的做法，“这不是新的交易，不是甲骨文首创的，而是Sun很久以前就开始的交易。”

　　Sun早在2005年就在Java中捆绑第三方软件，最开始是Google工具栏，后来是微软和雅虎，现在是Ask.com。Smith试图去安抚大家，“我们一直在关注这件事情而且在不断评估是否值得这样做，”他说。“我能说的是，我们听到了你们的声音，我们会给予关注，我们正在寻求可以做的事情让事态向前发展。”

　　他还拒绝向JUG负责人解释有关Ask.com工具栏安装程序的异常行为，“我同意大家看到这种行为的表情，就像是，‘为什么它要这样？’”Smith说。“可能我们永远也给不了满意的答复。但是我希望在某些时候，我们能澄清那是什么，为什么那样。”

　　目前，Ask.com尚未回复对安装程序的质疑，也没有透露和甲骨文的处理结果。