最近看到国外的相关讨论,就把他们整理一下写成一篇文章,
Web版会有连结连到各文章 http://www.lulalala.com/wordpress/archives/3296
在 2016 年底的时候,Chrome 的资安总监 Justin Schuh 在推特上跟人笔战。他提到“
防毒软件是阻碍我研发安全的浏览器最大的障碍”,然后他随手列出许多防毒软件造成的
漏洞。这之后在 Hacker News 上引起很大的讨论。
在 2017 年初,前 Mozilla 工程师 Robert O'callahan 也跳出来说他也碰过许多防毒
软件的问题,所以他推荐已经升级到 Windows 10 的大家,不要再买防毒软件了,移除他
们,使用 Windows 内建的就好。Robert 其实在 2012 年就曾经在 Mozilla 的公开讨论
区提到防毒软件的问题,不过那时 Mozilla 的公关要求他停止了,因为怕这会影响防毒
软件公司跟他们的关系。
节录两位工程师提到的问题:
替换掉系统DLL,但是却换成一个比较不安全的版本,如关闭 ASLR。
把不安全的格式处理码注入系统核心
防毒软件自己通常要求要在系统最高层级执行,反而成为一个容易攻击的目标,以取
得最高存取权。
防毒软件公司的员工能力不足,常写出有漏洞的程式。比如先前趋势科技的密码管理
工具才被爆出能做出远端执行程式的漏洞。
常常发生把浏览器搞挂的事情。
让浏览器无法更新。
在拦截 https/hsts 封包时反而把其搞挂
有趣的是,两人都推荐 Windows 内建的防毒软件,因为依照浏览器的纪录,只有这款没
出现什么问题。感觉他们是希望有款比较没有侵略性的防毒软件。依照 Justin 自己在另
一篇文章的说法,防毒软件已经是资安的最后一道关卡,软件产业应该注重于更早期避免
问题的产生,比如说在产品设计阶段就以资安为考量,而不是最后让消费者感染后才来侦
测以及治疗。
防毒软件会被列为攻击对象是因为"不弄死它会很麻烦吧"把浏览器搞挂的情况可以分成不少吧(扩充或是内建)
作者: ross800127 (ROSS-MAX) 2017-06-01 20:58:00
以上内容并不试用于随时让自己暴露在危险中的使用者
至于出现漏洞喔...这个其实有点微妙,毕竟只要是程式就可能会有洞,而公司可以做到的顶多是加强释出前的验证可是即便像Windows Update的更新档都号称有先在沙盒中测试后才释出的东西都会有bug了然后,其实防毒软件的某些技术做得正是本文最后一句话
作者:
ltyintw (菈米雅嘶嘶)
2017-06-01 21:05:00以前avast刚发展https流量扫描的时候曾经遇过一次https网站都不能上
希望在进到系统前可以做出对应而且没有侵略性可能也意味着它对于潜在或是未知威胁的对应能力不会很强力(如WD其实也能一定程度挡下某些新型恶意程式,但是限定在某些情况下才强制出手)
作者:
mathrew (Joey)
2017-06-01 21:24:00好笑的是 自己家的软件有漏洞 却要别人不要装
作者: ross800127 (ROSS-MAX) 2017-06-01 23:28:00
防毒大厂就算有洞也会立刻补起来 不可能自己破坏商誉
作者:
mayuyu ((・ω・)ノ)
2017-06-01 23:53:00其实不只Google/Mozilla的工程师这么说许多研究资安问题的机构也都这么说 在他们看来有些防毒的开发者反而没有基本的安全观念他们的设计反而增加了系统被病毒攻击的接口而且很糟糕的是 由于这些防毒软件运作在系统的核心一旦被利用 就会造成无可阻挡的破坏我们一般可能没有注意防毒软件本身也有漏洞的新闻其实许多资安机构和组织包括Google Project Zero每年都在发现防毒软件的严重漏洞这些漏洞使得系统本身的安全设计形同虚设比没有安装防毒的情况更加惨烈和我们一般印象相反的是这些资安专家认为Windows10系统本身的安全性设计已经足以缓解大部分的漏洞攻击可是不安全的防毒软件设计反而制造了更多病毒利用的管道譬如说系统本身的AppContainer的沙箱设计非常难以攻破但是利用防毒软件的漏洞 病毒反而可以轻松从沙箱逃逸这个结果和我们一般的印象完全相反 所以可能让人无法接受但是这是真的 系统本身的安全设计反而是最坚固的所以Chrome的沙箱设计理念的第一条就是“不要自己造轮子”你要设计安全软件 就用系统本身提供的安全架构和功能就好不要自己发明和设计另一套漏洞百出的安全系统所有软件都是基于系统 仰赖系统提供的功能而运作的没有会比系统本身的安全架构更坚固的设计所以Google才会认为“不要叠床架屋”自己设计轮子然而随着Windows本身的安全性越来越好防毒软件的地位就会变得越来越尴尬前一阵子才发生卡巴斯基怒呛微软垄断防毒市场的新闻防毒市场因为以前的Windows不安全 已经发展了很多年结果现在微软反而认为防毒是累赘 经常冲突制造系统的不稳所以想要逐步限制第三方的防毒软件这样厂商生存不下去当然要抗议
作者:
lokuji (わけがわからないよ)
2017-06-02 02:32:00MPE在5月已经出了两次问题,加上之前延后发布OS整合修补档这件事。不觉得MS有什么脸去检讨第三方防毒软件。
没说错,所有的系统与防护都是有漏洞的,搭配的好才能创造综效,否则只是互扯后腿
作者:
mathrew (Joey)
2017-06-02 06:10:00其实不是 Chrome 严谨,而是 Chrome 根本不让你用某些功能,结果它自己却也讲别人
呵呵浏览器插件造成的首页与间谍软件绑架多的很怎不先检讨这些机制
作者:
ww (刘文听)
2017-06-02 13:43:00其实自动更新的软件都有风险 一旦server被骇 铁定死一堆人