上個(gè)月我們報(bào)道過，在一次黑客競(jìng)賽中。一位黑客只用了9個(gè)小時(shí)找到了Mac OS X操作系統(tǒng)的漏洞，并編寫代碼攻破了該系統(tǒng)，得到了1萬美元的獎(jiǎng)金。近日，ComputerWorld雜志采訪了這一攻擊代碼的編寫者，安全專家Dino Dai Zovi，請(qǐng)他談了對(duì)操作系統(tǒng)安全的看法。起初這一漏洞被指為在Safari瀏覽器身上，后來又變成了QuickTime播放器，這是怎么回事？我一直很清楚漏洞在哪里。我一開始沒有確切指出漏洞的位置，是為了防止其他人通過這些信息反編譯我的漏洞代碼。最終，那次比賽的主辦方公布了漏洞的具體信息，影響Mac OS X上所有基于Java的瀏覽器，甚至包括安裝了QuickTime的Windows系統(tǒng)。你在9個(gè)小時(shí)內(nèi)編寫出了攻擊代碼，這是真的么？我以前也發(fā)現(xiàn)過Mac OS X甚至是QuickTime的漏洞，因此對(duì)這些代碼很熟悉。但是對(duì)于這一漏洞，我確實(shí)是在那天晚上發(fā)現(xiàn)并進(jìn)行攻擊的。這就像釣魚，有時(shí)候你一天都釣不到一條，但有時(shí)你可以釣到很棒的。你會(huì)聽說到哪個(gè)地方很容易釣到魚，然后人們就開始都到那里釣魚，那邊的魚就又變少了。這里，QuickTime就是那個(gè)容易釣到魚的地方，我就去那里找，很幸運(yùn)的在很短時(shí)間內(nèi)找到了。當(dāng)然，我“釣魚”已經(jīng)很久了。你對(duì)Mac用戶的安全問題有什么建議？我建議Mac用戶將他們?nèi)粘Ｊ褂玫膸粼O(shè)定為非管理員帳戶，為重要的數(shù)據(jù)設(shè)定單獨(dú)的密碼，并且在隔離開的加密磁盤上儲(chǔ)存敏感數(shù)據(jù)。既然你在雙平臺(tái)上進(jìn)行研究，你認(rèn)為Mac OS X 10.4和Vista之中有誰的安全性更好么？在安全領(lǐng)域中，Vista的代碼質(zhì)量比Mac OS X 10.4好的多。從安全更新中可以明顯看出，微軟引入的“安全開發(fā)生命周期”（SDL）體系讓新編寫代碼中的漏洞數(shù)量明顯減少。我希望越來越多的軟件廠商學(xué)習(xí)微軟的這套軟件開發(fā)安全管理體系。