* * * * *

禁止公開評論 (本同意書)。 這個特別奇怪 -- 同意書本身並非 10.1 節所定義的 「Apple 機密」。 但是 Apple 卻禁止開發者談論同意書?

禁止在 App Store 之外的其他任何地方上架。 7.2 節說得很清楚: 用 Apple 的 SDK (開發工具) 所開發的軟體, 只准在 App Store 上架; 而 Apple 保留權利可以拒絕任何應用軟體上架 -- 即便它符合 Apple 所公開列出的所有條件。 所以如果你用 Apple 的工具開發, 卻又不幸被拒絕上架, 你就做白工了 -- 不能在他處上架。

禁止逆向工程。 2.6 節禁止你進行逆向工程, 也禁止你協助他人對 iPhone 與 SDK 進行逆向工程 -- 即便是法律允許, 為了相容而進行的逆向工程。 [註: 請參考 「當翻譯變成一種罪行」。]

禁止探究任何 Apple 的產品。 去年引發輿論撻伐的 "禁止 jailbreaking 條款", 其根據就是 3.2(e)。 [註: 請參考 「蘋果電腦: 打破我的電子監牢, 就送你進實體監牢」。] 令人訝異的是: 這裡所禁止的, 不僅僅是 iPhone, 還包含所有 Apple 的所有產品。 [註: 也就是說, Apple 知道 見不得人的 DRM 演算法 必定會像 藍光光碟機制崩盤 一樣, 無法永遠靠技術防堵, 所以只好靠著 "禁止資訊安全專家評論資安漏洞" 的法律 來封口。]

Apple 隨時可撤銷你的軟體。 第 8 節提到: "Apple 隨時有權撤銷你的數位憑證"。 Steve Jobs 也曾證實過: 即使用戶已經把軟體安裝到他的裝置上了, Apple 還是有能力遠端遙控將之移除。 [註: 這也是為什麼我把這類老大哥監控消費者的相關技術譯為 "遙控數位枷鎖" -- 雖然從嚴格的技術角度來說, 這裡描述的是 TC 而不是 DRM。]

不論發生什麼事, Apple 最高賠償你 $50 美元。 請見第 14 節。 請認真想想看: 簽下同意書後, 開發者沒有其他任何管道可以銷售他的軟體; Apple 一手完全掌控開發者所有的聲譽和商機; 而 Apple 對開發者所做的承諾, 就是 "最壞的情況下, 我會賠你 $50 美元"。 真的很不可思議。 (remarkable) 所以... 比方說: Apple 推出更新, 不小心把你的軟體給砍了, 或是 Apple 把你客戶的名單洩漏給競爭者, 那麼根據這份同意書, 你所得到的最高賠償, 就是一個人在 Cupertino 吃一頓大餐的金額。 [嗯, 在臺灣, 應該可以給一對情侶吃一頓情人節套餐吧。]

* * * * *

先從資訊學院師生的角度做結論。 臺北縣政府就業服務中心 建議青少年 在打工時, 應該:

清楚檢查合約內容、附帶條件
在簽訂合約前,應仔細閱讀所列明的條款。 如有不清楚的地方,不要隨便簽約,並要求帶走合約正本或副本仔細研究。

事實上這也是學校老師本來就應該提醒學生的事。 (再度自爆: 我也經常忘記提醒學生。 orz) 如果不知道一份合約有問題, 那也就罷了; 如果知道, 身為教師, 豈能不告訴學生? 為了同學學弟妹的權益, 希望全國資訊科系的同學, 把這篇文章轉寄給你的老師。 (請註明出處。)

不過, 受影響的並不只有開發者。 消費者也間接受害。 畢竟, 不論是誰簽下了條約, 不論是誰決定用 $50 元美金的保險額度替 Apple 賣命, 這些程式設計師的資訊素養與職業倫理, 都有必要受到檢視。

任何一位稱職的資訊安全專家 (我還算不上) 都知道 Kerckhoffs' principle: 演算法應該攤在陽光下, 讓所有資安專家檢視, 才比較安全。 反過來說, 想要藉由 "security by obscurity" 的方式 ("來, 獅子老虎們, 大家都學我鴕鳥把頭埋在沙坑裡, 這樣所有的鴕鳥就都安全了!") 來達到資訊安全, 這根本就違背資訊安全原理。 詳見 「見不得人的 DRM 演算法」。 如果 Apple 開發第三方軟體, 採取的卻是這樣的態度, 那麼參與開發的程式設計師, 他對於資訊安全的認知與能力, 能有多高呢? 嗯, 我知道又有一群 肥羊 品牌高度忠誠者 排隊等著要圍剿格主了... 沒問題, 除了垃圾留言, 將一律放行。 不過為了兼顧消費者權益和自身的安全, 我還是要小心翼翼地把話講清楚, 以免炮火傷及無辜。 這裡質疑的, 並不是 iPhone/iPad/iPod 上面 _所有_ 應用軟體的品質, 而是那些 「與資訊安全問題相關」 的應用軟體。 任何軟體都可能有資訊安全問題。 一般程式設計師在開發軟體時, 很認真考慮資訊安全的, 老實說並不多。 (再次自首... 我寫程式時, 也並不特別注重安全 orz。) 所以 iPhone/iPod/iPad 用戶在選購一般應用軟體時, 所面對的資安風險, 並不比 windows 或 linux 上面的專屬軟體 (程式碼不給看不給改的軟體) 來得高。 但是 iPhone/iPod/iPad 上面的一套第三方應用軟體, 若聲稱具有資訊安全功能, 那麼你就要小心了。 這套軟體的開發者明明知道 Apple 合約當中的 "資訊安全" 策略是有問題的, 卻還能夠以 「資訊安全專家」 的身份簽下開發同意書。 消費者應該要知道: 當他簽下去的時候, 他就已經把他的 靈魂 資訊安全專業職業道德, 出賣 奉送給 Apple 了。 將來你的利益與 Apple 的利益相衝突時, 你猜這位 「資訊安全專家」 會站在那一邊呢?