時間:2018-03-10 來源:互聯網 瀏覽量:
站住
證件拿出來
不知道差友們中有沒有 Oculus Rift 玩家?
它昨天出大事兒了。。。
Oculus 是最早開始做 VR 遊戲頭顯的廠商之一,目前有很多 PC 平台的 VR 遊戲愛好者有這玩意兒。
如果你男朋友擁有 Oculus Rift ,並且昨天用 “ 我在玩兒 VR ” 作為沒接你電話的借口,那你看到這個消息以後可以讓他跪下了。。。
昨天所有 Oculus Rift 頭顯不能用了
要用 Oculus Rift 玩遊戲,電腦上得裝個配套軟件。但這軟件昨天更新好以後罷工了,導致全球 Oculus Rift 玩家不能搞虛擬現實遊戲/小電影了。
至於這次大翻車的原因也被曝出來了:安全證書過期。
一旦安全證書過期不能用了,這個軟件啟動時候會直接被 Windows 拒絕運行。那麼問題來了,安全證書究竟是啥,為啥這麼敏感地拒絕一個明明功能完善的軟件?
安全證書是軟件開發商的信用證明,證明這個軟件真的是自己發布的。
支付寶安全控件安裝的時候,
能正常顯示 “ 已驗證的發布者 ”
那軟件開發商為啥要 “ 證明自己是自己 ” 呢 ?
假設黑客寫了個假程序,偽裝起來打包發到網上,那麼用戶裝了這些東西,就會很危險。。。
所以說開發商需要給軟件自證,來保證吃瓜群眾不會中招。
對不確定軟件,安裝的時候對話框是黃色
不過這個證書不是開發商自己搞的,他們要向專門的證書頒發機構申請一個證書,並且在軟件打包以後加上一個 “ 數字簽名 ”。
差評君為了易讀性,撇開中間的加密過程不談,簡單的概括這個證書的作用就是:檢查這個軟件的版本對不對,有沒有被修改過。
如果說數字簽名對上了,那一般來說這個軟件是可以相信的。
通常來說,數字簽名很難被模仿。
但很難不代表不可能,因此有的廠商不會用同一套證書和簽名很久,有效期越短說明更新得越快,也就越安全。
也有的廠商選擇很長的有效期,這樣就盡量減少像 Oculus Rift 昨天翻車那種事情發生的可能。
這兩種選擇沒有對錯,這是個工程問題,在各種妥協中找最優解而已。
不過這個數字證書還是容易產生不少問題的。
首先,這是一條信任鏈,頂端就是最高的證書頒發機構,也就是 “ 根證書頒發機構 ”,使用這套係統意味著大家都無條件信任他們。
現在微軟一般都會在係統中提前安裝好主流的頒發機構,這種關係很容易發展成微軟和根證書頒發巨頭的 PY 交易。。。
比如說微軟為了打壓競爭對手,招呼幾個主流的根證書頒發機構不給微軟的競品發證書,或者頒發機構為了額外利益,倒賣證書。。。
這個潘多拉盒子就擺在那裏,過於中心化的管理會存在這樣的隱患。
賽門鐵克( 殺毒軟件諾頓的開發商 )曾經就爆出過這種醜聞,穀歌 Chrome 之後不再信任它頒發的證書了。
第二個問題是為了搞數字證書,開發商要攤額外成本。
因為負責的證書頒發機構真的要去仔細審查開發商,還得配一套加密工具( 公鑰和密鑰 )給開發商,來來去去也要成本。
當然,有的隻負責審查的機構會便宜一些,不過這樣一來開發者還得自行研究證書加密,攤到開發人員上也算是一筆技術成本。
SSL 證書,有了它才能從 HTTP 變成 HTTPS,多一層加密
第三個問題是證書管理,Oculus Rift 這車就翻這兒了。
好比管個鑰匙,它很重要,你沒了車鑰匙開不了車,沒了家門鑰匙回不了家,你沒證書軟件不能運行,因為係統定期檢查證書過沒過期。
但你肯定也會在處理鑰匙的時候出過問題,比如說車鑰匙沒了不能上班,鑰匙被偷了得換鎖,或者說,你現在能馬上想起你每把鑰匙放哪兒了嗎?
證書問題就和上麵的情況一樣容易出問題,但一旦沒搞好,比如說像 Oculus 一樣過期了,那懵逼的可是全球的用戶。。。
經過緊急搶修,他們現在搞定了
更有的開發者,比較傲嬌,非得有 “ 我可不可信我說了算 ” 這種心態,自己給自己頒證書,比如說鐵道部,比如說曾經的各大銀行。。。
12306 為了安全,不讓黑客劫持你訪問他們的官網,的確需要搞數字證書。
可他們畢竟是國企,不能輕易相信別人,隻好自己給自己頒了。
不過鐵道部這個其實做得也沒錯,現在幾個主流的頒發機構都在老外手裏,這鐵路又是國家資源。。。
比如說前文提到的賽門鐵克就是個美國企業。
不過這樣還好,大不了你不信任可以不裝,結果就是用不了服務而已,就好比你家要裝修,你不給裝修隊鑰匙。
但除此之外的特例,我們一般用戶不應該沒事兒亂裝根證書,亂發你家鑰匙,也許今天人家是來裝修的,明天就把你家當都給撈幹淨了。
比如在微軟家裏,你不裝他和他基友一起搞出來的這些證書,想安心用個軟件很難了。。。
差評君和你講了這玩意兒,希望你以後可以稍微看一眼安裝來源,互聯網時代雖然方便,但壞心眼兒的太多了!
“ 這玩意兒雖然有隱患,但是是現在的最優方式了。。。 ”