V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lstz
V2EX  ›  macOS

如何避免 Downie 4 事件再次发生?是否可以要求苹果官方撤销它的软件签名?

  •  
  •   lstz · 256 天前 via Android · 3126 次点击
    这是一个创建于 256 天前的主题,其中的信息可能已经有所发展或是发生改变。

    实在不敢相信,一个付费软件在没有充足的盗版调查情况下,就敢威胁用户"已经"随机删除他们的本地文件,谁给它的权利?实在是给我们独立开发者抹黑..

    私以为如果真想拒绝盗版用户使用,直接弹窗禁止再继续使用就好了。我感觉这个开发者是比较幼稚,看起来还是挺年轻气盛的。原本以为付费软件,是有商业道德,结果做的还不如开源软件有底线....

    那么问题来了,我们应该如何避免类似的事情再次发生?

    1. 使用开源软件平替  
    2. 使用中大型开发团队出品
    3. 放进沙箱里运行(不太可行)  
    4. 选择声誉好无黑历史的开发者  

    欢迎大家讨论,但除了预防,我们也要让这个开发者付出代价,最起码就是要求数字荔枝解除合作,有可能的话让苹果吊销他的软件开发者,以儆效尤。

    这次是恐吓会随机删除文件,下次就是上传 ssh 私钥,再下次就是植入远程木马病毒,这妥妥的就是病毒行为。无论是否盗版,都不应该存在恶意逻辑,万一这种闭源软件,判断逻辑出错了,那就正版盗版用户全都通吃了,深思极恐

    19 条回复
    lstz
        1
    lstz  
    OP
       256 天前 via Android
    其实 macOS 也可能是有恶意软件存在的可能的...
    iClass
        2
    iClass  
       256 天前 via Android   ❤️ 1
    官方的恶被定义为不作恶 🇺🇲
    aero99
        3
    aero99  
       256 天前   ❤️ 1
    如果商店版都有这随意删除的权限,那么非商店版给完全磁盘读写权限很可怕的后果
    icyalala
        4
    icyalala  
       256 天前   ❤️ 2
    虽然但是。。你最后一段是典型的滑坡谬误
    Jirajine
        5
    Jirajine  
       256 天前   ❤️ 1
    不可能避免,专有软件就是这样的。如果他不是弹窗“威胁”而是真的悄悄这么做的话,几乎不太可能被发现,因为这是针对特定用户的行为。
    专有软件 === RCE
    lstz
        6
    lstz  
    OP
       256 天前 via Android
    @icyalala 抱歉,无意犯下这个低级错误,我只是想表达可能性,因为这种威胁术语可以是各种各样的
    hsiaochi
        7
    hsiaochi  
       256 天前
    等一个微信 qq 等一众磁盘扫描软件默默接纳了这个“天才”开发者的新闻
    lostberryzz
        8
    lostberryzz  
       256 天前
    所以 ssh key 必须要有 passphrase
    dianso
        9
    dianso  
       256 天前
    软件权限够了想干啥干啥
    owen666
        10
    owen666  
       256 天前   ❤️ 1
    楼主一开始就说错了。我在另一个帖子里询问过,被告知这个应用本身就是沙盒应用。它只能访问有限的几个文件夹。比如/Downloads 或者用户选择允许访问的文件夹。

    https://v2ex.com/t/1022720#reply46
    ggmood
        11
    ggmood  
       256 天前 via iPhone
    我是 setapp 下载的,回去就删除
    0o0O0o0O0o
        12
    0o0O0o0O0o  
       256 天前 via iPhone
    其实我觉得被你认为不太可行的 3 (由 OS 提供的安全保障)才是最重要的,别的都是锦上添花(因为大部分人根本不会去看代码,而去看代码的人中的大部分也无法分辨是不是恶意代码,所以其实 1 和 4 是差不多的,都是基于声誉,2 可能还要加上对市值的影响)。它行不通是各平台的无能或者不作为或者故意放纵,用户的谨小慎微很大程度上是为此买单。
    acidsweet
        13
    acidsweet  
       256 天前
    @owen666 楼主哪里说错了?他没有「威胁」用户随机删除他电脑里的文件么?
    我发现 V 站很多贵物完美没有理解「意图」的意义;实名点名 @wclebb @miaomiao888
    一个宣称会这么做的程序,我怎么知道他真的不会这么做呢?
    1. 靠开发者说他没做?→ 谁去保证开发者的道德问题
    2. 靠逆向工程验证? → 谁知道逆向工程里是否会有疏漏
    3. 靠系统沙盒机制保证? → 你确定系统无安全漏洞可用么
    ---
    所以一个宣称会删除我电脑文件的程序,一我无法 100%保证它没有能力这么做,二仅仅是宣称也足够恶心人了;
    一些贵物一直在陈述:只是玩笑、保护版权、逆向证明安全,我觉得真是可笑了
    SkywalkerJi
        14
    SkywalkerJi  
       256 天前
    这下就是 mac 劣势了。其他系统直接起个虚拟机。除非这个软件不允许虚拟机运行,那多半是有高风险操作。
    owen666
        15
    owen666  
       256 天前
    @acidsweet

    人家楼主自己都没反驳。证明人家知道我说他错在哪里。可你根本看不懂,还在这里胡喷。他错在哪里?你看看他的第三条,再看看我说的。

    他第三条说:放进沙箱里运行(不太可行) 。而我说的是,有人证明已经是沙盒。所以,他说的不太可行是错的。已经是了。无需在放人沙盒。
    acidsweet
        16
    acidsweet  
       256 天前
    @owen666 笑死;
    「楼主一开始就说错了。我在另一个帖子里询问过,被告知这个应用本身就是沙盒应用。它只能访问有限的几个文件夹。比如/Downloads 或者用户选择允许访问的文件夹。」
    请问楼主一开始是到哪截止?
    「实在不敢相信,一个付费软件在没有充足的盗版调查情况下,就敢威胁用户"已经"随机删除他们的本地文件,谁给它的权利?实在是给我们独立开发者抹黑..

    私以为如果真想拒绝盗版用户使用,直接弹窗禁止再继续使用就好了。我感觉这个开发者是比较幼稚,看起来还是挺年轻气盛的。原本以为付费软件,是有商业道德,结果做的还不如开源软件有底线....

    那么问题来了,我们应该如何避免类似的事情再次发生?」
    这一段说的是「威胁用户」,有说错在哪么?如果说的是已经在沙盒的话:
    沙盒并不是绝对安全的; 2022 年微软就说明了一种 macos 沙盒逃逸的方法 → https://securityaffairs.com/133211/hacking/macos-sandbox-bypass-exploit.html
    所以,如果见识少,至少嘴巴放干净点
    GQ1996
        17
    GQ1996  
       256 天前
    如果是程序员,艺术创作者,文字工作者,就会知道自己的文件有多重要。想想你花了不知道多少天,甚至几个月去完成的文件,有个 app 弹窗对你说“我已经随机删了你的某个文件做惩罚,或者没有”。这么恶劣的行为还有人维护我是在想不明白。
    我个人的使用习惯
    1 ,就算是有时候某些功能受限,我还是尽量使用 App Store 的版本,强制沙盒还有苹果有一定的审核。我自己使用的 davinci resolve studio 就是用的 App Store 版本,虽然会有一些地方比较麻烦。
    2 ,同类软件有可以选择的尽量使用大公司的产品,特别是微软,苹果,谷歌。
    3 ,选择热门的开源项目。
    4 ,个人开发者或者小众 app ,我一般只会选择无需注册登陆的。通常只会在 iOS 上使用。一些小众领域,个人开发者或小团队会有很多优秀的 App 。因为自己知道 iOS 和 Mac 能实现的功能和权限的差距。
    miaomiao888
        18
    miaomiao888  
       256 天前
    猴子大腚,农夫瓶盖,红的,圆的,日本元素 日本国旗?
    太可怕了,细思极恐!
    whileFalse
        19
    whileFalse  
       256 天前 via Android
    这次是苹果听你的撤销一个 app 的签名
    下次就是苹果听美国的撤销各种国产 app 的签名
    下下次就是苹果直接在上架 appstore 的国产 app 里面加料
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2647 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 02:52 · PVG 10:52 · LAX 18:52 · JFK 21:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.