※ 引述《oaz (台灣獨立建國不必錢嗎？)》之銘言： : ※ 引述《sniffer (again)》之銘言： : : 掃毒如果會分析程式流程, 就算是 reverse-engineering, : : 但是因為行為人是客戶, 而且客戶本人也沒有"看", 所以通常不會被告 : 於是，客戶使用非雲端的掃毒程式來分析軟體，軟體作者通常不會告客戶 : 但如果客戶使用雲端的掃毒程式來分析軟體，軟體作者就會要告客戶？ : : 對, 但是如果要作proactive, 就會分析流程, 雖然你無法透過掃毒知道流程, : : 但是如果雲端可以從分析資料, 知道部份程式流程, : 你都用 "如果要作proactive" ，就表示還有非 proactive 的方式 : 然後一直在說 proactive 可能有問題，所以雲端掃毒會有問題？ 拿掉 proactive, 對變體跟新病毒偵測率就可以忽略不計了, almost zero 雲端的問題就是假資料上傳, 雲端運算早就有的問題, 唯一作法就是加上檢核, 但是檢核就要有"原始資料", 也就需要上傳使用者電腦上的檔案, 不管是部份還是全部, 或是處理過可供再分析的資料, 都會有交付第三者的法律責任, 掃毒軟體卻不提供上傳前確認與報告, 不要忘了 windows 當機回報都會告訴你傳了什麼, 所有資料, 掃毒廠商卻以保密或方便為藉口不報告 : 再說，我還真不相信沒有技術可以規避 : 譬如把一個檔切成一百份，每次只掃一份之類的 這樣最好看得出有沒有毒, 而且 bitorrent 這樣做也一樣被告 : 你提的這問題跟是不是雲端根本無關 : 而且我還是認為你把掃毒的分析就視為逆向工程，實在是令人質疑 : 真出問題，掃毒商就會要求改法律了，類似 "以掃毒為目的不算在內" 之類的 : : 這就違反NDA跟no reverse-engineering規定 : : 如果雲端取得的資料跟流程無關, 又無法杜絕欺騙 : : 一個毒也只會在很少部份user有, 所以其他用戶與此檔無關, 雲端怎麼判斷得了 : : 一樣用雲端技術, 一台電腦可以假裝成100台, 所以現實中這沒什麼用 : 一台電腦假裝成一百台？？？ : 我相信密碼學的可以幫你確認身份是一個人還是一百個人 : : 那就一樣是個洞, 一個毒本來就不會人人都有, : : 會回報同一個檔案的人不多, 怎麼分真假? : 那就漏掉這隻毒，那會如何？ : 當一個毒只有一個人中時，為何要一定要 "百分之百分辨它" : 當它擴散到有一千個人中時，可以辨識它，於是可以對剩下一百萬台電腦做防護 : 你講的這個問題，非雲端掃毒也會有 : : 這個你明確知道所有檔案都傳到 google 去了, : : 而且有些NDA的檔案的確禁止傳到網路去, 這一樣會被告 : Google 都不怕被告了，你在怕什麼？ 這種情況被告的是你, 不是 google : 公司在備份郵件時，都不怕被造侵犯版權，你在擔心什麼？ : 擔心雲端掃毒會被造版權 : 你就跟雲端掃毒的服務者要求法律保護，如果因此衍生侵權問題，服務商要負全責 : 服務商都不怕被告了，你在擔心什麼？ : : 雲端掃毒只籠統的給你一個要或不要選項, 而不讓人拒絕貢獻, : : 也不在上傳時明確指出上傳的資訊, 並加以詢問, 某些網友還覺得理所當然 : : 這個我原文就有說過 : : 看用途, 如果你的 email 被 DoS 回報成 spam, 只是不方便, : : 掃毒誤把正常檔當毒, 你電腦會掛掉, 不同產品的容錯本來就不一樣 : 反垃圾郵件如果把正常郵件當成垃圾郵件 : 也是有可能造成數百萬的損失（重要合約） 所以大家還是會檢查 spam, 還可以設白名單 : 而且我舉垃圾郵件的例子是想說：當你透過郵件存放有版權的內容物 : 反垃圾郵件也是會分析內容物，怎麼就沒有你說的版權問題？但是掃毒就會？ : 我愈來愈覺得你是在扯 : 而且扯的東西跟雲端掃毒無關，因為非雲端掃毒也有相關問題 在本機發生跟雲端本來就不一樣, 你不能用掃毒得到程式機密, 但是掃毒廠商卻可以, 在確定是病毒前他沒權利分析, 但是分析前無法確定是毒, 所以一定會發生違反程式作者權益的行為, 這裡可以告掃毒公司的, 就是程式作者, 你如果不是靠這吃飯, 當然不care, 我可是在提供大家權益資訊, 大家可以自己找律師問 隱私方面, 雲端沒有提供詳細上傳資料明細, 就算他有要你勾同意, 也還是不合隱私相關規範, 大律師應該也可以挖錢出來$$$ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.116.218.88