这意味着，除非知识渊博的系统管理员采取明确的行动来阻止它，否则任何 15 岁的孩子，只要能从互联网上复制代码，就可以使用微软的 IIS 绕过您的防火墙，绕过您的密码系统，并获得对托管您的 Web 服务器的机器的管理员级别的访问权限。他们可以随意检查、更改或删除文件，无论您如何保护它们。他们还可以使用该机器的 root 级别访问权限作为跳板，攻击您防火墙内的其他系统。

关于微软安全中最新（也是看似永无止境）的漏洞的报告，请访问 http://www.eeye.com/html/Research/Advisories/AD20010501.html。

这是最糟糕的情况。即使按照微软每月一个安全漏洞的标准来看，这也是一个重大而令人讨厌的问题。

在克雷格·蒙迪星期四在纽约的反开源布道会上，我希望有人敢于问他几个简单的问题

1. 微软在安全性方面的记录是否能激发考虑将他们的数字身份委托给微软的 Hailstorm 系统，以及将他们的关键业务数据委托给 .NET 的客户的信心？

2. 即使是对专门跟踪安全漏洞的网站（如 CERT 和 BugTraq）进行最粗略的检查，也会发现像 Linux 和 BSD 这样的开源操作系统比微软 Windows 拥有更好的安全记录，无论是在漏洞数量方面，还是在修复的快速部署方面。 微软打算如何缩小技术差距，赶上这些系统的质量水平？

3. 如果潜在的操作系统客户有数百万（甚至数十亿美元）依赖于他们计算机系统的安全性，如果他们无法检查这些系统的源代码，他们如何才能对他们的风险进行合理的估计？

4. 如果问题 3 的答案是“如果您是一家足够大的公司，并为此付费，您就可以查看源代码”，那么为什么客户必须为微软自己的 QA 团队经常搞砸的工作付费？

5. 您将如何回应以下声明：“任何工程师或高管，如果无视最佳实践，将安全关键功能委托给封闭源代码的软件，都是对其雇主的责任采取了可诉的违规行为？”

Eric Raymond的联系方式：Eric S. Raymond。