杰米·扎温斯基(Jamie Zawinski)称肉桂屏幕保护程序锁绕过错误为“不合情理”

2021-01-17 19:50:56

肉桂屏幕保护程序再次弹出。如果您未在Linux上运行XScreenSaver,则可以安全地假定您的屏幕未锁定。最新消息:以前:您会记得,在十七年前的2004年,我写了一篇文档,解释了为什么要做出我在XScreenSaver中所做的设计折衷,并且在该文档中我预测了这个确​​切的错误作为示例。如果您不这样做,将会发生这种情况。"他们去实现了这一目标。反复。每次重新引入此bug时,都会有人用管道说“"那是一个bug,他们已将其修复。”这确实是关键所在。关键不是存在这样的错误,而是有可能这样的错误。这里真正的错误是系统的设计甚至允许此类错误。设计关键的安全基础架构的人会以不会安全失效的方式设计系统,这是不合理的。尤其是当我给他们提供了将近30年的现有技术演示如何正确执行的信息时,一份长达20多年的文件清楚地解释了“不该做什么”,恰巧使用了这个错误作为其示例性的稻草人!这些错误是设计的一种可耻的尴尬-与仅仅糟糕的代码相反。出于多种原因,同一错误会在其他屏幕锁柜中不断出现。锁定和身份验证是操作系统级别的问题。尽管X11是Linux台式计算机操作系统的核心,但它的设计没有安全性可言,因此,锁柜必须像普通的,非特权的用户级应用程序一样运行。这使问题更加棘手。

X11体系结构的这一错误永远无法修复。 X11太旧,太僵化,并且有太多陷入泥潭的利益相关者无法对它进行任何有意义的更改。这就是为什么人们一直试图替换X11的原因-并失败了,因为它根深蒂固。

与往常一样,这些错误是可怕的,因为糟糕的安全性比没有安全性还差。如果您知道屏幕没有锁定,那么您的行为会适当。也许您走开后就登出了。也许您不会在某些事情上使用那台计算机。但是,安全安慰剂会让您的行为看起来好像是安全的,而实际上却并非如此。这些反复出现的错误的令人毛骨悚然的部分之一是XScreenSaver的屏幕锁定器部分甚至不是有趣的部分!我不喜欢这样做。我从来没有。我添加它是为了满足需求和必要性,不是因为它听起来像是个好时机。我开始并继续这个项目,作为制作艺术品的渠道。我宁愿花时间去推三角形。叹。还有一个并非无关紧要的新闻:只是加重了侮辱,最近引起我注意的是,不仅Gnome屏幕保护程序,Mint屏幕保护程序和Cinnamon屏幕保护程序越野车和不安全的垃圾箱大火,而且它们还违反了我的许可并侵犯了我的版权。 XScreenSaver是在BSD许可证下发行的,BSD许可证是最古老,最宽松的自由软件许可证之一。事实证明,Gnome屏幕保护程序作者将XScreenSaver的大部分内容复制到了他们的程序中,删除了BSD许可证,并在我的代码上贴上了GPL许可证-并删除了我的名字。无礼。如果他们问我,您可以双重许可此代码吗,我可能会说是。如果他们提出了要求,我们是否可以取消您的姓名,并以(C)William Jon McCann为您的工作功劳,...可能不是。作为Gnome屏幕保护程序的分支和后代的薄荷屏幕保护程序和Cinnamon屏幕保护程序已继承了此许可违规行为,并一直持续下去。每个Linux发行版都随附此侵犯版权和许可证的代码。