微軟經常談論安全。 微軟在消費者心中所深植的安全概念很簡單: 「你不懂電腦。 不懂電腦的人, 常常會做傻事。 做傻事, 很不安全。 讓我幫你把手綁起來, 讓我替你行使各種基本的選擇權。 放棄自主選擇權, 你就會很安全。 因為我最懂, 我幫你做的選擇最安全。」

但事實是: 很多時候微軟真正關心的, 並不是用戶的安全, 而是別人的安全。 過去發生的許多事件一再地證明: 微軟語的真正意義其實是: 你的 「棄權」, 就是別人的 「安全」。

從三月底開始, 如果你在 msn 交談當中提及 piratebay 的連結, msn 會告訴你: 「這個連結不安全, 我們把它擋下來了。」 點擊 piratebay 的連結到底會傷害到你的安全, 還是會傷害到你朋友的安全呢? 不是這樣解釋的。 微軟要保護的, 其實是 "企圖管制影片音樂的 MPAA 及 RIAA" 的安全。 身為閱聽者的你願意棄權 (因為你選用微軟的 msn), MPAA 跟 RIAA 的會員廠商才能享有著作權的安全。

去年 10 月微軟要求硬體廠商 (如果想得到 windows 8 認證標章的話, 就必須) 禁止用戶拿自製的光碟、 隨身碟開機。 這個功能美其名為 「secure boot 安全開機」。 如果允許你任意行使開機自主權, 嘗試使用各種不同的作業系統, 這到底會傷害到你的安全、 會傷害到那些 "想要幫你修電腦" 的電腦醫師的安全, 還是會傷害到那些 "幫回收電腦安裝 linux" 的資訊志工的安全呢? 不是這樣解釋的。 微軟要保護的, 其實是微軟自己在市場上的壟斷地位。 身為消費者的你願意棄權 (因為你選用支援微軟的平板電腦), 微軟才能享有壟斷市場的安全。

MS Office 2007 (或更新的版本) 有一個 進階資訊版權管理和原則功能:

2007 Microsoft Office system 版本包含精密的 IRM 功能和原則控制， 設計目的在於協助組織保護數位資訊的安全，以防未經授權的使用。

所以使用 MS Office 2007 或更新的版本來創作文件, 採用內含秘密格式的 docx 格式來存檔, 文件就很保密、 很安全對嗎? 如果你沒空認識 DRM 遙控數位枷鎖, 那麼請簡單自問: 你身為讀者的時間多, 還是身為作者的時間多? MS Office 的 IRM 功能, 大多數時間是在保護你, 還是在限制你? 沒錯, 微軟 聲稱 要保護的, 是文件作者的安全。 但是請注意: 如果收到文件的讀者改用 「沒上手銬」 的 OO.o, 他就可以打開被封鎖的文件了。 所以... 其實 MS Office 的 IRM 機制也並沒有保護到作者的安全。 至於... 更常身為閱讀者的你, 因為你願意棄權 (因為你選用 「銬上微軟 IRM 枷鎖」 的新版 MS Office), 所以愛用新版 Office 的作者才能享有 想像中的 保密安全。 沒看懂嗎? 這個案例的 「安全」 根本就沒有保護到任何人好嗎? 只是藉機幫所有新版 MS Office 用戶 (不論你自己寫作時有沒有用到 IRM 功能) 銬上手銬而已。

Obscurity provides no security, only an illusion of it. -- Gernot Heiser

再早一點, 2007 年 9 月, 網友發現: 即使設定要求 Windows 只通知但不要自動更新, Windows 還是會自動強制更新。 姑且撇開暗中更新的爭議不談, 既然是自動強制更新, 想必跟重要資訊安全漏洞有關囉? Windows 專家發現: 這個更新不但異常地欠缺說明文件 (Knowledge Base article) 而且還會導致那些曾經使用修復功能 (repair) 的電腦無法安裝其他八十多個安全更新。 這種神秘的作風, 到底是在保護誰的安全? 我們很難揣測。 唯一可以確定的是: 這看起來一點都不像是在保護用戶的安全, 反而比較可能是在侵犯用戶的權利 (所以微軟才需要偷偷摸摸地做)。 類似的 「暗中強制更新」 在 2009 年 跟 2010 年 又發生了兩次。 2009 年那一次 Microsoft .NET Framework Assistant 的暗中強制更新當中, 微軟不只動到它自己的產品, 還 偷偷為 firefox 裝了一個外掛套件, 而且禁止用戶反安裝。 2010 年那次暗中強制更新的代碼為 KB982217。 再一次地, 微軟在你的 firefox 上偷偷安裝了奇怪的外掛套件; 再一次地, 這個強迫中獎的套件無法簡單地直接移除。

更早以前, 2006 年的 fairuse4wm 事件 當中, 身為閱聽者的你願意棄權 (因為你接受微軟的安全更新、 願意放棄 fairuse4wm 幫你爭取的影音媒體 「合理使用權」), MPAA 跟 RIAA 的會員廠商才能享有著作權的安全。 有趣的是, 就在 fairuse4wm 事件之前發生的 Sony rootkit 事件當中, 微軟卻反而無視客戶的安全, 對 Sony 的入侵沒有做出任何反應。 這些事我在 「作業系統開機鑰匙不在你家」 已經說過, 就不再重複了。 當初用這種態度面對客戶安全被侵犯的微軟, 現在竟然還自己推出 Microsoft Security Essentials - Windows 免費防毒軟體, 想來實在有點令人不安。

當然, 並不是每次微軟談論 「安全」, 就一定是要你棄權。 微軟呼籲大家支持 ie6countdown, 這件事的確是在顧慮你的安全。 多數具有清楚說明文件 (Knowledge Base article) 的安全更新, 可能也都是真的在顧慮你的安全。 至於那些偷偷摸摸進行、 或是支吾其詞避重就輕的 「安全」 說辭, 你可就要提高警覺了。 請隨時帶著警戒心、 上網搜尋蒐集事實、 留意自己的自主選擇權有沒有被剝奪, 下次當你再聽到微軟談論 「安全」 時, 才能心智清楚地判斷到底微軟心中的主詞是誰。 至於有些 品牌忠誠的肥羊 永遠無法相信微軟會欺騙他、 傷害他 (例如 Office 證照卓越大學 裡面某些 追隨錯誤強權的資訊教授?) 面對這些隨時準備 「棄權」 以換取 「安全」 的人, 我就只能送幾句希特勒的名言給他們了...

編織一個天大的謊言。 要夠簡單, 要不斷地重複。 然後人們就會相信它。
人們不太思考。 這對領袖而言是多麼讚的一件事啊!
抵抗信心永遠比抵抗知識要更加困難。 -- 阿道夫 希特勒

* * * * *

手邊沒電腦; 口頭推薦本文嗎? 可以請您的朋友搜尋 「你棄權 微軟安全」。