支付宝的键盘记录器

今天收到转来的 支付宝涉嫌耍流氓 监控用户键盘 。

从技术上我能理解这个软件为什么要这样做。

中国的流氓软件很多，病毒很多。许多电脑都是带病毒运行。有些病毒就监控了用户键盘，盗取用户的输入密码。所以支付宝为了安全，就必须重新抢过键盘的监控权，才放心让用户输入。否则，用户的密码被盗了，还抱怨支付宝不够安全。

为什么中国的流氓软件多，病毒多？因为许多人都是用盗版windows，都不执行Windows的自动更新。这个自动更新干什么用的？是安装补丁的。微软做出windows之后，大家到处找漏洞；没有漏洞的软件是不存在的，你也知道。因此，发现漏洞了，微软就发布补丁来堵漏洞。如果你不执行自动更新，那么漏洞就一直开着，等着病毒的攻击。这就是中国Windows的现状。有些政府单位全部用盗版软件，所以在黑屏事件时，上级单位还发通知如何应对。而且，国内用户的安全意识不强，许多人认为：我电脑里没什么秘密，所以有病毒也无所谓。

所以我说，从技术上我能理解支付宝为什么要这样做。但是从公关的角度上，它可以作更好的。比如说，它可以给那些杀毒软件送一个样本，告诉他们这些文件是我的正常软件，杀毒软件就不会因它而报警了。或者，把这个“与病毒抢制空权”的原理告诉大家，大家也就没有什么埋怨了。

其实，用软件是要讲缘分的。你用一个软件，就表示你信任这个软件和后面的公司不会对你不利。我在《一段黑客经历》里就提到：

软件的使用本身就是建立在相互信任的基础上的 ，如果如此滥用别人的信任，这个世界已经完蛋了。例如，我们为了聊天，从网上下载，或者用软盘拷了oicq并执行，但是你怎么知道这个软件里没有一个代码准备格式化你的硬盘呢？甚至，微软的windows除了将你的注册信息发给微软公司之外，是否还把你硬盘里的秘密发送出去了呢？如果对网络的东西毫无防范，你死了都不知道怎么回事；但是如果完全基于不信任主义，我们就只能使用自己编制的软件。我们只能在这中间找一个平衡。