Vista Gadgets:未来流氓软件的主战场?

Sidebar与Gadgets，作为微软在Windows Vista中新纳入的组件，能够提供相当丰富的功能，为用户的日常操作与使用带来很大的便利，比如说，在Sidebar中，我们使用CPU与内存占用监视器查看系统状态，使用RSS阅读器来订阅聚合新闻等等。同时，在Windows Vista中安装新的Gadget非常简单，用户只需将其下载然后点几下鼠标即可完成，这让即使对系统操作并不熟悉的用户也能轻松安装，大大降低了入手难度。

网管bitscn_com

　　不过，带来的一个问题便是，这样安全么？微软提供了一系列的 APIs (Application Protocol Interface : 应用程序编程接口) 与 WMI (Window Management Instrumentation : Windows 管理规范)来让开发商或用户创建新的Gadgets，这也使得为Windows Vista开发新的Gadgets相当简单，那么，能否有效地保证其不被滥用？毕竟这些API与WMI能够进行许多系统级的操作。或者，如果流氓软件制作者在某个Gadget中嵌入恶意代码又将如何？

网管联盟bitsCN_com

　　老实说，这种疑问并不是杞人忧天。

网管网www.bitscn.com

　　根据微软的说法，Windows Vista通过如下的机制保证Gadgets的安装与使用中的安全性： 网管联盟bitsCN@com

　　UAC:确保Gadgets运行在标准用户权限下? 中国网管论坛bbs.bitsCN.com

　　Windows Vista通过UAC保证Gadgets运行于标准用户权限下，即使操作用户属于管理员组。同时，为了确保其不会获得管理员权限，将不会让Gadgets显示常见的UAC确认窗口，这样，至少在理论上来说，Gadgets将无权修改受保护的内容如系统文件与设置。

网管u家u.bitsCN.com

　　不过，Gadgets提供了加载系统中其他程序的接口，允许其调用、启动其他程序，而此时，则是可以弹出正常的UAC提升权限窗口的，如果用户已经被频繁弹出的UAC窗口搞得麻木，便极有可能下意识地点击允许赋予其权限。也许这是未来流氓软件的突破口？ 中国网管论坛bbs.bitsCN.com

　　数字签名:信任的Gadgets?

　　微软建议开发者使用CAB文件格式来打包Gadgets，这样，便可以在文件包中嵌入数字签名，以保证下载的Gadgets未被修改。 网管论坛bbs_bitsCN_com

左为具有数字签名的Gadgets，右则没有数字签名

网管下载dl.bitscn.com

　　当然，用户可能会对有数字签名的Gadgets更信任。但是，对那些以ZIP方式打包的Gadgets呢？对那些不通过标准安装方式安装的的Gadgets——如这个改变Vista屏幕分辩率的Gadget——呢？如果其提供的功能比较诱人，用户也许会冒着风险安装的。对这类情况，恐怕微软很难以“股市有风险，入市请谨慎”之类的说法应对吧？

网管u家u.bitsCN.com