由于 Java 浏览器插件的安全漏洞状况频发,而 Java 运行时安装器中又一直带有不相关的浏览器插件,这成为最终用户抛弃 Java 平台的一个重要原因。
在 2005 年底,Sun 开始将 Google 工具栏捆绑到 Java 运行时安装器中。3 年后,Sun 又与微软完成一笔交易,将 MSN 工具栏包含其中,到了 2008 年又开始捆绑 Yahoo 。那时在 Windows PC 上安装 JRE 时,安装器会问你是否将“Ask”搜索引擎工具栏安装到 Internet Explorer、Chrome 和 Firefox 上。此外,它还会将 Ask 作为默认的搜索引擎提供商。你可以不勾选复选框选择不安装,但安装器并不会记录你的选择。这样,每次在安装更新时,比如说解决安全问题的更新,你都得记得别勾上这个复选框。
这着实让人恼火,但事情还远未结束。你会在安装器上看到下面这个界面。
上面这个界面表示 Ask 工具栏已经安装上了。假如你是不小心安装的,那么你可能会直接进入到控制面板将其卸载,但你会发现控制面板中根本就没有这个应用。上面这个对话框中的说明链接并没有提供关于这方面的任何信息(它只与 Java 有关),但结果却是 Ask 安装器会在 10 分钟之后才运行,只有运行后它才会出现在程序列表中。关于这一点,我能想到的唯一解释就是它让用户更难以卸载这个程序,但 Ask Partner Network 的总裁 Andrew Moers 却告诉 InfoQ“这么做是为了确保 JRE 能够恰当地装载而不会对用户电脑造成压力。这并不是欺骗用户,也不是 Ask 产品的本性”。Ed Bott 对此不敢苟同,他在 ZDNet 上写到“我长这么大,还从来没有见过一个合法的程序会是这个样子呢”。
在测试中,我在一台 Windows 7 上也出现了卸载失败的情况,只能使用这里提供的一个独立工具。我惊讶地发现,如果等了 10 分钟,然后再卸载程序,那么卸载器是不会将默认的搜索引擎还原到安装插件之前的样子的。Moers 指出卸载过程是基于业界标准的。
每一家主要的厂商(AOL、Google、微软、Yahoo)都遵循着这个实践,卸载器不会将用户设置恢复成之前的样子。换言之,整个业界也处在不断变化当中。我们正同合作伙伴和政策制订者一道实现这些变化,比如说当用户卸载工具栏时,发出通知告知用户当前的默认设置,通过易于访问、一步步的指导来修改这些设置。
一直以来,Bott 都对“捆绑软件”行为大加斥责,之前曾说过 Adobe 和 Skype 是最差劲的公司。但随着时间的流逝,Adobe 和 Skype 已经有了些许的改变,现在 Bott 相信 Java 可以登上“捆绑软件”之王的宝座了。
关于 Oracle 这方面的证据非常多,特别是下面这些:
- 当使用 Java 的自动更新为 Windows 安装重要的安全更新时,第三方软件总会出现其中。发给用户的两个额外的包是 Ask 工具栏与 McAfee 安全扫描器。
- 在每次 Java 更新时,你必须得去掉额外的软件安装包。如果很忙、没注意或是幼稚到相信 Java 的“推荐”,那么结果就是将不需要的软件安装到了自己的 PC 上。
- IAC(与 Oracle 合作发布 Ask 工具栏)使用欺诈技术安装其软件。这些技术包括了社会工程学,无论是新手还是有经验的计算机用户都可能会上当,这种行为在司法上是违规的。
- Ask.com 搜索页面提供的搜索结果非常差劲,还使用了误导且不合法的技术欺骗访问者点击付费广告而非真正的搜索结果。
哈佛大学教授 Ben Edelman(研究欺诈软件实践)对 Ask 工具栏进行了广泛的分析。他的结论是:
我们看到 Oracle 从这次的安全缺陷中获益了,将安全更新作为一个机会,让用户安装额外的广告软件。Java 的很多安全问题都导致捆绑安装变得更加糟糕:每次 Java 的安全更新都会提示我安装 Ask(过去 18 个月里有 11 次)。即便用户之前曾多次拒绝 IAC,Oracle 还是会不断地问——只要一个小小的失误,比如说不小心点击了或是敲了键盘,那就会安装 Ask 工具栏。 安全更新无论如何也不应该用作推送其他软件的机会。Oracle 深知,由于最近的一系列安全问题,用户迫切需要软件更新来修复严重的漏洞。通过将广告软件捆绑到安全更新上,Oracle 导致用户不再相信安全更新了,用户将不会再安装 Oracle 和其他厂商的更新。与此同时,由于更新过程变得越来越慢且颇具侵入性,Oracle 导致用户修复其计算机的可能性大大降低了。相反,Oracle 应该尽可能快地加速更新过程——去掉不必要的步骤,向用户表明安全更新是迅速且没有其他干扰的。
Java 开发需要支付某种费用,并且还要安装不需要的工具栏,这会导致 Java 安装包变大。但此举并非人们所需。甚至是一些主流的新闻( 1 、 2 、 3 )都在催促用户禁用掉 Java(来自美国国土安全部的建议),Oracle 的这种做法无疑会让用户觉得自己被劫持了。
暂无签名
腾讯云云原生提质增效实践精选集 2024
《2024腾讯云云原生提质增效实践精选集》出炉,5大热门技术领域,13个行业精选标杆案例,痛点到解决方案全...
评论