如何避免 Downie 4 事件再次发生?是否可以要求苹果官方撤销它的软件签名?

256 天前
 lstz

实在不敢相信,一个付费软件在没有充足的盗版调查情况下,就敢威胁用户"已经"随机删除他们的本地文件,谁给它的权利?实在是给我们独立开发者抹黑..

私以为如果真想拒绝盗版用户使用,直接弹窗禁止再继续使用就好了。我感觉这个开发者是比较幼稚,看起来还是挺年轻气盛的。原本以为付费软件,是有商业道德,结果做的还不如开源软件有底线....

那么问题来了,我们应该如何避免类似的事情再次发生?

  1. 使用开源软件平替  
  2. 使用中大型开发团队出品
  3. 放进沙箱里运行(不太可行)  
  4. 选择声誉好无黑历史的开发者  

欢迎大家讨论,但除了预防,我们也要让这个开发者付出代价,最起码就是要求数字荔枝解除合作,有可能的话让苹果吊销他的软件开发者,以儆效尤。

这次是恐吓会随机删除文件,下次就是上传 ssh 私钥,再下次就是植入远程木马病毒,这妥妥的就是病毒行为。无论是否盗版,都不应该存在恶意逻辑,万一这种闭源软件,判断逻辑出错了,那就正版盗版用户全都通吃了,深思极恐

3124 次点击
所在节点    macOS
19 条回复
lstz
256 天前
其实 macOS 也可能是有恶意软件存在的可能的...
iClass
256 天前
官方的恶被定义为不作恶 🇺🇲
aero99
256 天前
如果商店版都有这随意删除的权限,那么非商店版给完全磁盘读写权限很可怕的后果
icyalala
256 天前
虽然但是。。你最后一段是典型的滑坡谬误
Jirajine
256 天前
不可能避免,专有软件就是这样的。如果他不是弹窗“威胁”而是真的悄悄这么做的话,几乎不太可能被发现,因为这是针对特定用户的行为。
专有软件 === RCE
lstz
256 天前
@icyalala 抱歉,无意犯下这个低级错误,我只是想表达可能性,因为这种威胁术语可以是各种各样的
hsiaochi
256 天前
等一个微信 qq 等一众磁盘扫描软件默默接纳了这个“天才”开发者的新闻
lostberryzz
256 天前
所以 ssh key 必须要有 passphrase
dianso
256 天前
软件权限够了想干啥干啥
owen666
256 天前
楼主一开始就说错了。我在另一个帖子里询问过,被告知这个应用本身就是沙盒应用。它只能访问有限的几个文件夹。比如/Downloads 或者用户选择允许访问的文件夹。

https://v2ex.com/t/1022720#reply46
ggmood
256 天前
我是 setapp 下载的,回去就删除
0o0O0o0O0o
256 天前
其实我觉得被你认为不太可行的 3 (由 OS 提供的安全保障)才是最重要的,别的都是锦上添花(因为大部分人根本不会去看代码,而去看代码的人中的大部分也无法分辨是不是恶意代码,所以其实 1 和 4 是差不多的,都是基于声誉,2 可能还要加上对市值的影响)。它行不通是各平台的无能或者不作为或者故意放纵,用户的谨小慎微很大程度上是为此买单。
acidsweet
256 天前
@owen666 楼主哪里说错了?他没有「威胁」用户随机删除他电脑里的文件么?
我发现 V 站很多贵物完美没有理解「意图」的意义;实名点名 @wclebb @miaomiao888
一个宣称会这么做的程序,我怎么知道他真的不会这么做呢?
1. 靠开发者说他没做?→ 谁去保证开发者的道德问题
2. 靠逆向工程验证? → 谁知道逆向工程里是否会有疏漏
3. 靠系统沙盒机制保证? → 你确定系统无安全漏洞可用么
---
所以一个宣称会删除我电脑文件的程序,一我无法 100%保证它没有能力这么做,二仅仅是宣称也足够恶心人了;
一些贵物一直在陈述:只是玩笑、保护版权、逆向证明安全,我觉得真是可笑了
SkywalkerJi
256 天前
这下就是 mac 劣势了。其他系统直接起个虚拟机。除非这个软件不允许虚拟机运行,那多半是有高风险操作。
owen666
256 天前
@acidsweet

人家楼主自己都没反驳。证明人家知道我说他错在哪里。可你根本看不懂,还在这里胡喷。他错在哪里?你看看他的第三条,再看看我说的。

他第三条说:放进沙箱里运行(不太可行) 。而我说的是,有人证明已经是沙盒。所以,他说的不太可行是错的。已经是了。无需在放人沙盒。
acidsweet
256 天前
@owen666 笑死;
「楼主一开始就说错了。我在另一个帖子里询问过,被告知这个应用本身就是沙盒应用。它只能访问有限的几个文件夹。比如/Downloads 或者用户选择允许访问的文件夹。」
请问楼主一开始是到哪截止?
「实在不敢相信,一个付费软件在没有充足的盗版调查情况下,就敢威胁用户"已经"随机删除他们的本地文件,谁给它的权利?实在是给我们独立开发者抹黑..

私以为如果真想拒绝盗版用户使用,直接弹窗禁止再继续使用就好了。我感觉这个开发者是比较幼稚,看起来还是挺年轻气盛的。原本以为付费软件,是有商业道德,结果做的还不如开源软件有底线....

那么问题来了,我们应该如何避免类似的事情再次发生?」
这一段说的是「威胁用户」,有说错在哪么?如果说的是已经在沙盒的话:
沙盒并不是绝对安全的; 2022 年微软就说明了一种 macos 沙盒逃逸的方法 → https://securityaffairs.com/133211/hacking/macos-sandbox-bypass-exploit.html
所以,如果见识少,至少嘴巴放干净点
GQ1996
256 天前
如果是程序员,艺术创作者,文字工作者,就会知道自己的文件有多重要。想想你花了不知道多少天,甚至几个月去完成的文件,有个 app 弹窗对你说“我已经随机删了你的某个文件做惩罚,或者没有”。这么恶劣的行为还有人维护我是在想不明白。
我个人的使用习惯
1 ,就算是有时候某些功能受限,我还是尽量使用 App Store 的版本,强制沙盒还有苹果有一定的审核。我自己使用的 davinci resolve studio 就是用的 App Store 版本,虽然会有一些地方比较麻烦。
2 ,同类软件有可以选择的尽量使用大公司的产品,特别是微软,苹果,谷歌。
3 ,选择热门的开源项目。
4 ,个人开发者或者小众 app ,我一般只会选择无需注册登陆的。通常只会在 iOS 上使用。一些小众领域,个人开发者或小团队会有很多优秀的 App 。因为自己知道 iOS 和 Mac 能实现的功能和权限的差距。
miaomiao888
256 天前
猴子大腚,农夫瓶盖,红的,圆的,日本元素 日本国旗?
太可怕了,细思极恐!
whileFalse
256 天前
这次是苹果听你的撤销一个 app 的签名
下次就是苹果听美国的撤销各种国产 app 的签名
下下次就是苹果直接在上架 appstore 的国产 app 里面加料

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1022805

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX