3.1 为什么现在还如此糟糕现代计算机行业的安全问题来值两个主要的方面。首先,跟平常一样,因为在处理安全问题的时候大多数程序员不知道最近在做什么。安全是一个高度专业化的领域,而这些程序员则是“通才”。其次,更为严重的问题是,即使程序员了解安全技术,他仍然从该技术的角度来思考问题,而不是从使用该技术的用户来考虑问题3.4 人类操作布鲁斯·施奈尔写过一本关于密码学的书《应用密码学》。这本书受到了他所在领域的高度重视。但是时隔7年之后,他在另外一本书《网络信息安全的真相》中公开地承认错误,他在该书的开头写道:“我写作这本书的目的是为了纠正一个错误。《应用密码学》一书中曾经描述了一个数学乌托邦。我曾经认为密码学就是回答所有问题的终极答案。”“结果并没有我所想象的那么好。读者相信密码学就是一种安全魔法,只需要将其应用在软件上,就能让软件安全起来。。。”一位同事曾经告诉我,“世界上有好多糟糕的安全系统,他们均由看过《应用密码学》这本书的人说设计”。当他为客户设计和分析安全系统的时候,他“发现这些弱点跟数学毫无关系。他们存在于硬件、软件、网络和人中间。糟糕的程序设计、糟糕的操作系统或者某人糟糕的口令的选择,都使得漂亮的数学理论变得无关紧要。”他又补充道,“如果您认为技术能够解决您的安全问题,那就表明您还没有理解这些问题,并且您也没有理解这些技术。”我完全赞同上述的观点。8微软,听好了,我在这本书中已经重复了多少次了?你的用户并不是你!无论如何炒作都不能让一款糟糕的产品变好火车变得不是那么的差。但是如果你不能够理解自己的用户,如果你解决了错误的问题,或者解决了正确的问题,但是你的用户不能从中受益,那么即使是世界上最好的技术产品终究是无用的东西。这不是你认为你的用户怎么想的问题,也不是你希望的他们怎么想的问题。你必须真正了解他们的想法。9软件行业因用户而存在。David S.Plattwww.rollthunder.comhttp://www.whysoftwaresucks.com/