在一次黑客競(jìng)賽中。一位黑客只用了9個(gè)小時(shí)找到了Mac OS X操作系統(tǒng)的漏洞，并編寫(xiě)代碼攻破了該系統(tǒng)，得到了1萬(wàn)美元的獎(jiǎng)金。近日，ComputerWorld雜志采訪了這一攻擊代碼的編寫(xiě)者，安全專(zhuān)家Dino Dai Zovi，請(qǐng)他談了對(duì)操作系統(tǒng)安全的看法。

問(wèn)：起初這一漏洞被指為在Safari瀏覽器身上，后來(lái)又變成了QuickTime播放器，這是怎么回事？

我一直很清楚漏洞在哪里。我一開(kāi)始沒(méi)有確切指出漏洞的位置，是為了防止其他人通過(guò)這些信息反編譯我的漏洞代碼。最終，那次比賽的主辦方公布了漏洞的具體信息，影響Mac OS X上所有基于Java的瀏覽器，甚至包括安裝了QuickTime的Windows系統(tǒng)。

問(wèn)：你在9個(gè)小時(shí)內(nèi)編寫(xiě)出了攻擊代碼，這是真的么？

我以前也發(fā)現(xiàn)過(guò)Mac OS X甚至是QuickTime的漏洞，因此對(duì)這些代碼很熟悉。但是對(duì)于這一漏洞，我確實(shí)是在那天晚上發(fā)現(xiàn)并進(jìn)行攻擊的。這就像釣魚(yú)，有時(shí)候你一天都釣不到一條，但有時(shí)你可以釣到很棒的。你會(huì)聽(tīng)說(shuō)到哪個(gè)地方很容易釣到魚(yú)，然后人們就開(kāi)始都到那里釣魚(yú)，那邊的魚(yú)就又變少了。這里，QuickTime就是那個(gè)容易釣到魚(yú)的地方，我就去那里找，很幸運(yùn)的在很短時(shí)間內(nèi)找到了。當(dāng)然，我“釣魚(yú)”已經(jīng)很久了。

問(wèn)：你對(duì)Mac用戶(hù)的安全問(wèn)題有什么建議？

我建議Mac用戶(hù)將他們?nèi)粘Ｊ褂玫膸?hù)設(shè)定為非管理員帳戶(hù)，為重要的數(shù)據(jù)設(shè)定單獨(dú)的密碼，并且在隔離開(kāi)的加密磁盤(pán)上儲(chǔ)存敏感數(shù)據(jù)。

問(wèn)：既然你在雙平臺(tái)上進(jìn)行研究，你認(rèn)為Mac OS X 10.4和Vista之中有誰(shuí)的安全性更好么？

在安全領(lǐng)域中，Vista的代碼質(zhì)量比Mac OS X 10.4好的多。從安全更新中可以明顯看出，微軟引入的“安全開(kāi)發(fā)生命周期”（SDL）體系讓新編寫(xiě)代碼中的漏洞數(shù)量明顯減少。我希望越來(lái)越多的軟件廠商學(xué)習(xí)微軟的這套軟件開(kāi)發(fā)安全管理體系。