|
本文摘自《Windows & .NET
Magazine UPDATE,October
7, 2003》
越来越多的分析家、技术产业报道、IT决策者、系统管理员以及其他微软产品的使用者正在追问着同一个问题 :微软是否应该为Windows和其它产品中的漏洞承担经济责任?
的确,对于微软来说,今年的安全形势很不好,夏季的SoBig.F病毒和MSBlaster蠕虫对全世界范围内对众多企业和个人用户造成了危害,尽管没有导致数据丢失,但是造成了网络中断,最近又发现IE中存在的弱点会受到新的QHost的致命攻击,当用户访问不安全的Web站点时,它会在用户机器上运行恶意代码。但是,就像其它软件制造者一样,微软依赖最终用户许可协议,以此来避免用户对产品缺陷要求赔偿。最终用户许可协议(EULA)真的合法吗?微软能否对用户使用微软产品时产生的问题,包括经济损失负责呢?
在加利福尼亚的一个微软客户正在进行着这样的法律尝试,他向这个在美国拥有数百万用户的软件巨人提起了法庭诉讼。该诉讼指控微软进行了不公平竞争,并违反了加利福尼亚的消费者保护法,这是该州最严厉的法律之一。诉讼还指控微软过早地发布安全警报,使得黑客可以在用户修正系统之前,有充分的时间对系统漏洞进行攻击。同时,也指控微软的安全警报过于专业,一般用户难以理解。
我不是法律专家,因此不能评判加州的法律。安全公告的公开值得商讨,但是我认为安全公告的发布时间并不是问题所在,更多的原因是许多用户并没有受益于微软提供的自动更新、Windows更新以及其它更新服务。大型企业和中小商业团体没有一个简易的解决方案,这是我们今年在Windows
& .NET UPDATE上反复讨论的话题:微软的补丁管理策略已终止并需要进行完全检查,检查将在未来几个月进行,尽管还不知道具体的步骤,但是微软会向后覆盖所有当前企业所使用的产品,包括Windows
2000和Windows
NT 4.0。我个人认为,安全性的增强不应该只提供给新产品的用户,在安全方面,微软公司有负责保护他所有用户的利益。当然,如果是与安全性无关的产品(Non-security-related
products),可能就要另当别论了。
但是微软公司是否应该为他的Bug负责呢?这个话题比较复杂,回想起上个月的WinInfo
Daily UPDATE,也许,该公司应该对此负有一定责任。我感觉到,微软在压力之下会努力工作,如果该公司真的被迫必须保护客户的安全,也许它的产品会很好地改进。
我一直困惑不解的一件事情就是EULA的合法性。你还能想出其它具有这种许可协议的产品吗?它不保证产品会如广告中描述的那样工作,甚至对于你使用产品所导致的经济损失、数据丢失以及时间浪费不承担法律责任。我们不能想象其他制造商在这种条件下销售产品,比如汽车、电子消费品、家具等等。由于软件对于我们的生活是如此重要,因此,也许它应该受到管制。
不要误解,我不认为我们需要更多的政府关注。但是,难道当前软件对于国家机构不是非常重要吗?难道不需要执行更高的标准吗?
你会发现我提出了许多问题。但是都没有答案。我们都应该更多地、更认真地思考这些问题。我希望你思考:微软的产品对于国家金融体系是否过于重要,使得该公司可以继续不受管制地制造软件,并且在对其产品缺陷不承担责任的条款下进行销售?换言之,微软对于产品漏洞和缺陷是否应该承担经济责任?我真的不知道。
| 
