微软这边也很严谨 , 直接整了个防御和检测Log4Shell的长文 , 连检测工具都连夜开发了出来 。
毕竟大用户太多 , 要是真出事了 , 微软云服务这一整年基本就白干了...
当然啦 , 之所以有大公司们着手防御 , 当然是因为有倒霉蛋先行中招...
而这个倒霉蛋就是知名游戏《我的世界》Java版 。
不夸张的说 , 通过Log4Shell入侵《我的世界》 , 可能比小雷赢一把斗地主还简单 。
直接在聊天窗口输入一行恶意代码 , 就能入侵别人的游戏服务器 。
国外有一些老哥知道这事儿后 , 都亲自上游戏试了一下 , 结果是屡试不爽 。
好在《我的世界》反应够快 , 没多久就修复了漏洞 , 不然这游戏可以直接改名《黑客世界》...
与其同时 , 小雷也十分好奇 , 这Log4Shell漏洞的源头在哪 。
小雷特意去网上搜了下发现 , 这个漏洞源自于apache软件软件基金会旗下的log4j项目 。
平时不接触代码的人可能没听过 , 但在全世界的程序员大圈子里 , log4j作为java生态的基础组件 , 几乎是人人皆知 。
就像《英雄联盟》玩家离不开LOL盒子 , 还有玩FPS游戏离不开准星 。
而Log4j也不是啥复杂的程序 , 说简单了说 , 它只是一个开源的Java日志框架 。
众所周知啊 , 搞开发是一个与代码疯狂对线的过程 , 在一个能正常使用的软件面世之前 , 势必要经过无数次测试 。
一次测试跑不通 , 就得重新查看代码 , 看看哪里出了问题 。
这图可以说是很贴切了
但运行代码跟平常打游戏不一样 , 它不能实时回放运行过程发生了啥 。
如果真遇上运行崩溃了 , 程序员只能等代码跑完 , 再去后台查看错误日志 。
像前段时间MIUI的bug很多 , 开发人员就会让用户反馈bug的时候带上一份日志 , 这样他们才能精准定位问题所在 。
至于记录日志 , 其实是需要一个通用框架去实现的 。
毕竟程序员不可能每次开发软件 , 都额外再搞一个日志记录器吧 。
So , 借助现成的日志记录框架来做开发 , 是十分省事省力的方法 , 也符合程序员“不重复造轮子”的理念 。
在Java这边 , Log4j就是最出名且使用最广泛的开源日志记录框架 。
小到个人开发 , 大到苹果谷歌微软 , 在做Java开发时都会用上Log4j 。
没办法 , 虽然人家功能齐全 , 查起错误来够方便呢 。
但是越多人用 , Log4Shell漏洞的危害就越大 , 大伙看完下面这张图估计就懂了 。
国内外的互联网大厂所开发的软件 , 底层都保留了开源的Log4j框架 , 如果哪天这个框架出了问题 , 整个软件都会随之坍塌 。
这就很好解释了 , 为啥大厂们遇到这事儿都慌得一批 。
Log4Shell漏洞能如此变态 , 并不是因为漏洞本身足够复杂 , 让安全保护机制一头雾水 。
相反 , 它实在TM太容易被触发了 , 适用范围还贼广 , 任何软件都可以将其嵌入到底层使用 。
不过小雷也确实纳闷 , 这么开源框架可是全世界都在用的 , 为啥安全性不搞好点呢?
仔细想想 , 开发和安全性其实是两回事儿 。
作为开源项目 , 开发和维护Log4j框架压根就不赚钱 , 开发者都是在工作之余花时间去维护 。
有时候甚至穷得要在推特上找用户掏钱赞助 。
虽然漏洞被曝出来后 , Log4j的几位开发者已经在尽力修复 , 并推出了最新的修复版本 。
但比起大厂们当天就能修复的神级速度 , 作为官方维护者的它们 , 速度还算是慢的 。
相关经验推荐
- vivo NEX|vivo高端旗舰稳了,7英寸大屏+微云台2.0+骁龙8 Gen,年后发布!
- 阿里巴巴|Intel计划以代号Bonanza Mine的ASIC架构处理器跨入挖矿热潮
- 云米|抖音推出了电脑客户端,终于可以方便的在电脑上刷抖音了
- 苹果|有颜有值有实力,云米AI扫拖机器人Alpha 3体验:做个懒人,真舒坦
- CPU|龙蜥利器:系统运维工具 SysAK的云上应用性能诊断
- 云盘|免费不用花钱,教你一招,让你的电脑空间瞬间增加300G!
- 云米|冬天属于我的第一把键盘——米物ART系列机械键盘Z870冬之旷野
- vivo|vivo平板或将支持44W充电 NEX 5新机可能无缘微云台功能
- 方太|茅忠群眼中的方太和厨电业, 不畏浮云遮望眼
- 奥维云网|2K手机真不给力?首发ColorOS 12,功能向旗舰看齐该是你的菜了吧