在线咨询
eetop公众号 创芯大讲堂 创芯人才网
切换到宽版

EETOP 创芯网论坛 (原名:电子顶级开发网)

手机号码,快捷登录

手机号码,快捷登录

找回密码

  登录   注册  

快捷导航
搜帖子
查看: 870|回复: 0

[转载] Java安全更新捆绑第三方软件遭质疑

[复制链接]
发表于 2013-2-15 22:14:35 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

x

过去,Sun通过在Java安装程序中捆绑第三方软件的方式与其他厂商合作;现在,甲骨文并未摒弃这一传统,而且第三方软件还被捆绑到Java安全更新程序中。在上周的一个会议上,甲骨文OpenJDK团队负责人Doland Smith暗示说,他们不会在短期内停止这一行为。Java更新程序(包括紧急安全更新)不仅修补漏洞,还兼推广其他软件欺骗用户安装,这些软件被批评者称为“垃圾软件”或者“流氓软件”,甲骨文也因此再次受到质疑。

  甲骨文似乎不希望外界讨论这个话题。Smith在上周的会议上致电JUG(Java User Group)负责人,引用合同义务阻止他们讨论有关捆绑软件的细节,并且暗示短期内该策略不会改变。Smith在电话中表示,对于这样的商业合作关系,在处理诸如沟通、收入确认和其他类似事情时不仅要考虑公司内部策略,还要兼顾商业合作伙伴,遵守签署的协议。

  目前,Java的Windows安装程序捆绑了Ask.com浏览器工具栏。除非用户很明白地在Java安装界面作出选择--即明确地“拒绝”工具栏的安装,否则工具栏会被自动下载安装,并且浏览器默认搜索引擎也会变成Ask.com。

  上述行为激怒了ZDNet资深Windows博主Ed Bott,同时也引起了哈弗大学副教授Ben Edelman的注意,Edelman同时是广告软件、网络欺诈和互联网隐私方面的专家。1月22日出版的公开刊物上,二人对Java捆绑Ask工具栏一事公开讨伐。

  Bott发现Ask.com工具栏存在欺骗行为,即该工具栏并不是Java安装完成时立即安装,而是在其完成10分钟以后。“我从没见过一个合法的程序采用这样的行为,”Bott推测这些技术被用来应对技术精明的用户,试图隐藏工具栏的安装过程。

  Edelman则更加尖锐地批评了甲骨文和Ask.com的工具栏安装程序,他认为后者的行为完全是欺骗用户。更糟糕的是,用来修复最近被不法分子利用的零日漏洞的Java关键更新也被用来捆绑工具栏。Edelman强烈地表示了他的不满,“甲骨文竟然利用为安全缺陷打补丁的机会向用户推送广告软件,这种行为增加用户的不信任感。”

  然而,甲骨文有它自己的理由。

  Smith认为这是商业行为无可厚非。“确切地说,这不是安全问题,而是商业业务上的问题,”他在上周的电话中说。“之所以和安全产生联系,是我们明显地在向Windows平台推送新安装程序。但实际上这压根不涉及安全问题。”

  Smith对甲骨文的做法作了辩护,他说这是甲骨文延续过去Sun的做法,“这不是新的交易,不是甲骨文首创的,而是Sun很久以前就开始的交易。”

  Sun早在2005年就在Java中捆绑第三方软件,最开始是Google工具栏,后来是微软和雅虎,现在是Ask.com。Smith试图去安抚大家,“我们一直在关注这件事情而且在不断评估是否值得这样做,”他说。“我能说的是,我们听到了你们的声音,我们会给予关注,我们正在寻求可以做的事情让事态向前发展。”

  他还拒绝向JUG负责人解释有关Ask.com工具栏安装程序的异常行为,“我同意大家看到这种行为的表情,就像是,‘为什么它要这样?’”Smith说。“可能我们永远也给不了满意的答复。但是我希望在某些时候,我们能澄清那是什么,为什么那样。”

  目前,Ask.com尚未回复对安装程序的质疑,也没有透露和甲骨文的处理结果。

您需要登录后才可以回帖 登录 | 注册

本版积分规则

关闭

站长推荐 上一条 /2 下一条


小黑屋| 手机版| 关于我们| 联系我们| 在线咨询| 隐私声明| EETOP 创芯网
( 京ICP备:10050787号 京公网安备:11010502037710 )

GMT+8, 2024-12-22 09:07 , Processed in 0.015784 second(s), 8 queries , Gzip On, Redis On.

eetop公众号 创芯大讲堂 创芯人才网
快速回复 返回顶部 返回列表