Dashboard是一组被称为widget(构件)的全新辅助型应用程序。这些构件可以在屏幕上迅速弹出(好像一个仪表盘!),帮助用户即时了解像股价、天气预报、航班跟踪、度量单位、汇率和电话薄这样的信息。用户只需点击一下,其所喜爱的Dashboard构件就会即时出现并显示最新信息;再点击一下,这些构件又会立即消失,用户的屏幕马上恢复原状。Tiger默认带有14个构件,可以在互联网上同步对数据更新。
由于Dashboard以像HTML和JavaScript这样的标准网络技术为基础,因此第三方开发人员可以轻松创建新构件,以便用户添加到其Dashboard上。但据苹果在5月份发表的一份安全公告称,Widget用于Tiger 中的Dashboard ,黑客可以编写在Mac OS X 1.4 Tiger上运行的恶意widget,这些恶意widget在后台运行,并利用用户的“sudo”权限。获得了管理员权限,黑客能够获得完全的控制权。
其实Windows Longhorn 也有Dashboard 工具,如右边的时钟和天气
目前苹果已经推出了相关的修改补丁,但据美国软件工程师乔纳森表示,“尽管补丁软件降低了危险,但widget中仍然存在安全问题。他在接受采访时说,这些widget绝对不应当获得系统管理员权限。”。该工程师还对苹果解决widget存在问题的方式非常不满意。他说,用户应当被明确告知,他们的同意不仅会导致widget的下载,还会导致widget的安装。乔纳森说,在安装后,恶意widget可以在后台运行,等待用户以系统管理员身份运行,然后它就可以获得系统管理员身份。他表示,这可能使黑客获得Keychain工具中的用户名、密码清单。他建议用户只从信任的网站上下载widget 。 |
