今天看到一篇文章，探讨了Microsoft的DRM事件和Security Patch之间的关系。该文章写得颇犀利，有兴趣的人应该去看看原文；如果没时间的话，可以参考我下面提供的摘要。 破题就是很呛的一段话：如果你想看Microsoft匆匆忙忙地推出patch的丑态，不要去找IE的安全漏洞，也不要去找Windows的安全漏洞，只要想办法破掉DRM就好了。 接下来他开始描述什么叫做patch。他说，不管是修补程式错误的一般patch还是修补安全漏洞的security patch，对公司都是一种伤害，因为这代表公司要承认自己先前推出的程式是有问题的；为了避免这种尴尬的情况，有很多公司选择不做patch，但是在下一个版本推出的时候就已经把错误修正过来。另外，常常出patch也会让使用者很不耐烦，这些公司要想办法找一个平衡点。 Microsoft的作法是以后固定在每个月的第二个星期二推出patch (称作Patch Tuesday)。这个作法有好有坏，好处是这些patch有更多时间可以测试，照理来说应该会更稳定；不过坏处就是一个月才会发一次，所以在最糟的情况 下，你的机器可能会有一整个月的时间暴露在高风险的环境底下。 为什么Microsoft会这么做呢?因为它是在做生意而不是 在做公益，就算全世界的电脑都被破台了，对该公司的影响也是很有限的；开公司就是为了要赚钱，而让客户不要出事只是个附带条款而已。最近刚好有一件事可以 用来说明这个现象，那就是PlaysForSure和相关的DRM事件。 起因是在2006/08/19的时候，有人发了一个 讯息说他开发了一个叫做FairUse4WM的程式，可以用来移除Windows Media DRM第10和11版的保护；Microsoft在知道这个消息后，三天之内就推出了Security Patch；不过这些hacker显然更技高一筹，过没几天又发行了更新版，除了可以跳过先前的那个patch之外，还附加了可以多破Windows Media DRM第9和11 beta 2版的新功能。 现在问题来了：DRM被破算是一个漏洞 (vulnerability)吗?大部份使用者都不会这么认为吧(他举了一个很好笑的例子：喔，糟了，我买这首歌本来只打算在电脑上播，现在竟然连车上 都能听了!!看来我得去找个patch来防止这种事情再度发生…)。那，如果它不能算是一个漏洞，为什么它的patch的优先权竟然会高于大家都认为很重 要的security patch呢?答案似乎很显然，这是一个定义的问题：漏洞(vulnerability)到底是以谁的角度来看?以公司的角度来看，DRM被破当然是个很 严重的问题，因为这样一来它们和唱片业者之间的关系就会变差，而且对于营收也会有所影响，blah blah …所以说，为了解决这么大的一个漏洞，他们也只好打破惯例，紧急发出patch啦:Q