這位兄台講到了一個很重要的關鍵, 容我補充一些實務上的細節
※ 引述《KanzakiHAria (神崎・H・アリア)》之銘言:
: ※ 引述《red0whale (red whale)》之銘言:
: : 現在的什麼Google Chrome還是什麼Firefox之類的主流瀏覽器
: : 雖然看起來就是有名大公司生產的瀏覽器產品
: Firefox是自由軟體起家的
: : 但也不能保證我們使用他們的瀏覽器連上網,在每個網頁鍵入的每一個字、上傳及下載的每一張圖片和檔案
: : 都不會被記錄進他們公司內部的伺服器內
: : 也就是說,搞不好你用Chrome登入像是Facebook界面時,輸入的帳號密碼,鍵入的每一個字Google他們都會給你記錄得一清二楚
: 你可以看firefox source code 這樣就知道會不會連輸入錯字都被上傳
首先你遇到的第一個問題就是: Fiefox 的 codebase 太過龐大, 以一人之力想要維護所
有的模塊根本不切實際
於是呢—
你就找了幾個志同道合的好朋友, 每個人根據各自的專長分別負責某些區塊
但是呢—
你發現不光只是 Firefox 的 codebase, 還有 Firefox 的各種 dependency 也可能存在
風險
於是呢—
你又找了一批人, 讓他們負責檢查各種被引入的 dependency 都是安全的
但是呢—
你又發現, 程式碼光用看的是不夠的, 很多 bug 只有透過測試才能發現
於是呢—
你又又找了一批人, 讓他們負責寫各種 unit tests, integration tests, E2E tests...
但是呢—
你又又發現光靠自己找 bug 也是不夠的, 每個月 CVE 都會公布各種稀奇古怪的新漏洞
於是呢—
你又又又找了一批人, 讓他們負責定期修補最新發現的漏洞
但是呢—
你又又又發現參與這個專案的人已經太多, 沒辦法有效率的管理所有事情
於是呢—
你又又又又找了一批人, 成立基金會, 把所有人組織化
但是呢—
你又又又又發現其實不需要什麼事情都光靠自己, 社群的力量是很大的!
於是呢—
你又又又又又決定把目前的所有成果全部開源, 讓有共同目標的人都可以一起參與, 並將
這個 project 命名為 IceFox!
...
...
...
那這跟 FireFox 到底有什麼不一樣!!
: : 即便你在輸入途中打錯了一個字而去修正,搞不好Google連這也都知道呢
: 不放心的話自己載 firefox source code自己build
: : 所以要達到安全的輸入和輸出界面,我們是不是盡量不要用開發網站的形式給大眾登入和輸入私密資料以及傳送私密資訊給大眾?
: : 否則我們的一舉一動都可能被Google還是什麼Mozilla之類的瀏覽器公司記錄起來並讓他們給知道了?
: : 如果我們的登入界面或什麼較私密的資訊呈現都不用網頁形式開發而改用自行開發APP來讓大眾輸入資料和將資訊輸出給大眾
: : 那使用者使用的那個作業系統例如Windows、Linux、Android什麼的在有連網的情況下不也都有可能會利用類似的方式知道這些私密資料及資訊嗎?
: 同上,你可以看linux source code 看它有沒有紀錄你的東西上傳
: : (畢竟我們開發的APP所執行的OS環境也是別的公司開發的,他們也都還是有能力把使用者輸入的任何資料和呈現給使用者的資訊傳送到他們的伺服器內)
: : 這樣豈不是也不安全嗎?
: : 為了達到終極的安全,我們是不是要使出殺手鐧,自行開發一套作業系統
: : 開發了自己的作業系統後,並在自己的作業系統上再開發自己的APP,才能真的保證所有資料和資訊輸入、輸出及傳遞的安全?
: 同上,不放心的話自己載linux source code自己build
: : 否則不管是用開發網站的形式還是開發現在主流OS的APP多少都有安全上的疑慮吧?
: build不放心的話你可以反組譯你的compiler看它有沒有偷塞code
: : 我知道大概又會有人看不下去想噓我了
: : 不過我要問的就是這樣
: : 也許我的問題裡有什麼盲點可能我自己也不知道
: 安全靠自己 不求人 自己看code自己build
: : 鑒於我的才疏學淺
: : 問題中如有任何謬誤或誤解之處
: : 敬請多多指教
: 你提了open source的linux和firefox 卻沒提mac這種比windows/andoird更封閉的系統
: 你八成是果粉 建議你還是用mac pro最安心 不用謝