开源闭源浏览器碎碎念

纠正几个错误观点：

1. 开源浏览器爆出的漏洞少。（这句话经常被歧义为“开源浏览器漏洞少”，而后者表述含糊是无法单凭一句话说清楚真伪的）
2. 闭源浏览器更安全，因为高危漏洞总数少。

 

IE爆漏洞，外国人人自危，中国风平浪静，当然这是假象。如果大家也有幸生活在IT的世界中，周遭不绝于耳的 中招 之声也够让人心惊的了。

只是真正利用漏洞的攻击者大多只是参考现成的代码，并不具备多高的编写水平。大批IE7、IE8用户得以拥有一定的免疫概率，开源浏览器们因此错失了一个让统计数字更美观的好机会。

但反过来说，之所以刚刚爆出漏洞就能流传如此广泛，很可能漏洞早就发现了，等到工具、代码、宣传的准备都到位了后才有人爆出这一漏洞。

我觉得这正是闭源的IE在漏洞上最大的软肋，尽管高危漏洞总发现数相对较少，但是发现的人往往不怕别人也发现然后抢在前头发布，可以慢慢调试各类漏洞利用代码。最后容易导致漏洞一经爆出，现成的攻击一下子威胁了大批计算机。

反观做开源真是“辛苦”，天天改漏洞写得累、收入还没微软高，这些且不说，有时候免不了还得被人指责怎么这么多漏洞，写的东西安全性不过尔尔，等等等等。
对于做开源的这些人、尤其是能让他们生存下去的社会环境，实在让我敬佩 Orz