上個月我們報道過，在一次黑客競賽中。一位黑客只用了9個小時找到了Mac OS X操作系統(tǒng)的漏洞，并編寫代碼攻破了該系統(tǒng)，得到了1萬美元的獎金。近日，ComputerWorld雜志采訪了這一攻擊代碼的編寫者，安全專家Dino Dai Zovi，請他談了對操作系統(tǒng)安全的看法。起初這一漏洞被指為在Safari瀏覽器身上，后來又變成了QuickTime播放器，這是怎么回事？我一直很清楚漏洞在哪里。我一開始沒有確切指出漏洞的位置，是為了防止其他人通過這些信息反編譯我的漏洞代碼。最終，那次比賽的主辦方公布了漏洞的具體信息，影響Mac OS X上所有基于Java的瀏覽器，甚至包括安裝了QuickTime的Windows系統(tǒng)。你在9個小時內編寫出了攻擊代碼，這是真的么？我以前也發(fā)現(xiàn)過Mac OS X甚至是QuickTime的漏洞，因此對這些代碼很熟悉。但是對于這一漏洞，我確實是在那天晚上發(fā)現(xiàn)并進行攻擊的。這就像釣魚，有時候你一天都釣不到一條，但有時你可以釣到很棒的。你會聽說到哪個地方很容易釣到魚，然后人們就開始都到那里釣魚，那邊的魚就又變少了。這里，QuickTime就是那個容易釣到魚的地方，我就去那里找，很幸運的在很短時間內找到了。當然，我“釣魚”已經很久了。你對Mac用戶的安全問題有什么建議？我建議Mac用戶將他們日常使用的帳戶設定為非管理員帳戶，為重要的數(shù)據(jù)設定單獨的密碼，并且在隔離開的加密磁盤上儲存敏感數(shù)據(jù)。既然你在雙平臺上進行研究，你認為Mac OS X 10.4和Vista之中有誰的安全性更好么？在安全領域中，Vista的代碼質量比Mac OS X 10.4好的多。從安全更新中可以明顯看出，微軟引入的“安全開發(fā)生命周期”（SDL）體系讓新編寫代碼中的漏洞數(shù)量明顯減少。我希望越來越多的軟件廠商學習微軟的這套軟件開發(fā)安全管理體系。