“Matt's Script Archive” 通过提供简单易用的网站脚本,在早期互联网上广受欢迎,但也因安全漏洞百出而受到开发者批评。这揭示了普通用户追求 “能用” 与开发者看重 “安全” 之间的长期矛盾。这种冲突至今依然存在,类似于当下的 “vibe coding” 现象——它既降低了技术门槛,也带来了相应的风险。
早期互联网的“即插即用”工具
大约在 1995 年,一位名叫 Matt Wright 的高中生创建了一个网站,分享他编写的一些基础网站工具。这些脚本非常简单,却满足了当时巨大的市场需求。
- 广受欢迎的脚本: 包含联系表单、留言板、网站计数器等。
- 明星产品: 其中一个名为 WWWBoard 的脚本,成为了互联网上首批被广泛使用的论坛应用之一。
- 用户视角: 对于普通人来说,这些脚本解决了实际问题。他们下载、运行,网站上就立刻拥有了论坛和互动功能。它们能用,这就够了。
开发者眼中的安全噩梦
然而,在专业开发者看来,Matt 的脚本简直是一场灾难。他们认为这些被广泛使用的软件设计糟糕、漏洞百出,并且长期得不到更新。
程序员们惊恐地看着 Wright 的所作所为:他在互联网上传播了设计拙劣但使用广泛的软件。
这些脚本的安全问题非常严重,例如:
- 关键漏洞: 其中一个编号为 CVE-1999-1479 的漏洞,允许攻击者在服务器上 以最高权限执行任意代码。
- 糟糕的设计: 其他问题还包括将加密的密码文件存放在根目录,或者允许通过 URL 获取服务器环境变量。
社区的自救与技术的变迁
情况严重到另一个名为 nms 的网站被建立起来,其唯一目的就是提供可以替代 Matt 脚本的安全版本。该项目发起者认为:
Matt’s Script Archive 中的脚本写得很差,充满漏洞且不安全。任何在论坛上寻求相关支持的人都会被明确告知不要使用它们。
然而,讽刺的是,nms 项目如今也已过时二十年。正如其开发者之一 Dave Cross 所说,网络开发的技术和安全实践已经发生了天翻地覆的变化。过去修复的漏洞在今天看来微不足道,因为现代互联网的信任体系(如 SPF 和 DKIM)和开发模式(早已不是 CGI)完全不同了。
“能用就行”与专业标准的持久冲突
Matt Wright 的脚本之所以流行,是因为它满足了用户的核心需求:简单、有效。普通用户不想花几个小时研究所有选项,他们只想找到一个能用的东西,也就是 “摘最低的果子”。
这揭示了一个至今依然存在的核心矛盾:
- 普通用户: 追求便利和即时满足,不一定考虑安全或长期维护。
- 开发者/安全团队: 必须处理用户选择最简单(也往往最不安全)选项所带来的后果。
这种张力在今天的 “vibe coding”(凭感觉编程)现象中再次浮现。这些应用一方面降低了技术门槛,让更多人能参与创造;另一方面,它们也可能因为缺乏严谨的设计而充满风险。
你可以将它们视为外行创造的不安全垃圾,也可以将它们视为一种民主化的工具。问题是,它们两者皆是。
历史的回响与遗产
多年后,Matt’s Script Archive 的原始域名在被用于发布垃圾内容后过期。一位真正关心其历史遗产的人买下了这个域名,并建立了一个新网站来解释这些脚本的历史意义——尽管它们存在缺陷。
这本身就是一种充满 “vibe coding” 味道的行为,但它却为互联网历史做了一件重要的事。Matt Wright 本人也早已承认了这些脚本的不足,并推荐用户使用 nms 的替代品。他写这些脚本时只是个孩子,他的初衷很简单:
他只是想提供帮助。而他也确实做到了。