近日,在科技界引起轩然大波的是,“Linux之父”林纳斯·托瓦兹又一次在Linux内核邮件列表(LKML)上发表了一篇言辞激烈的文章,矛头直指文件系统中的大小写不敏感功能。
托瓦兹在文章中直言不讳地表示,大小写不敏感功能的设计从一开始就是一个“严重的失误”,并且这一错误并未得到文件系统开发者应有的重视和纠正。他强调,问题的根源并非在于测试不充分,而是该功能的实现本身就不应该被纳入考虑范围。
托瓦兹进一步指出,大小写不敏感功能不仅在实际应用中带来了诸多不便,更重要的是,它还可能引发严重的安全风险。他举例说,许多用户空间程序在进行安全敏感的文件名匹配时,往往会忽略文件名中的不可打印字符,而文件系统则可能无视这些字符的差异,导致不安全的文件名被错误地匹配上。这种“大而化之”的处理方式,使得原本严密的安全检查变得形同虚设。
托瓦兹还提到了Unicode字符在处理大小写不敏感功能时可能引发的另一类安全问题。他解释说,由于某些Unicode字符(如心形符号“❤”和“❤️”)在忽略特定代码点后被视为相同,这可能导致安全敏感的文件被误判或误操作。托瓦兹对此表示愤怒,认为这种设计让用户程序难以防范潜在的安全风险,而开发者却仍然将其视为一种“特性”,这无疑加剧了问题的严重性。
托瓦兹的文章在Linux社区内引发了广泛的讨论和反思。许多开发者表示,他们之前并未充分意识到大小写不敏感功能可能带来的安全隐患,托瓦兹的批评让他们重新审视了这一功能的设计和实现。同时,也有开发者表示,他们将积极采取措施,以消除或减轻这一功能可能带来的安全风险。
