讓用戶自然而然操作才是正道，GNOME資安團隊從軟體開發強化作業系統安全

在資訊安全與使用者執行的便利性之間，兩者往往背道而馳，然而GNOME資安團隊組長Tobias Mueller卻有不同的看法，他們認為在作業系統中，無謂的對話框非但不能增加安全性，反而會造成使用者執行應用程式的麻煩，因此，他認為開發者設計軟體操作流程時，應該從使用者角度進行衡量。

Tobias舉例，軟體的開發者原先是美意，以彈出式視窗提醒，要使用者留意再加以確認放行。其中最常見的情況，可能是由於企業採用了自己派發的憑證，導致網路連線的憑證錯誤，或是像是軟體沒有安全開發者署名的情形，這個時候，作業系統出現了彈出式視窗警示，但現實的情況是，使用者可能才剛下載了安裝檔案正要執行，這樣的警告讓大多數用戶難以理解，當然普遍來說都是想盡辦法按下確定，消除這些視窗，讓軟體繼續執行，所以這些警示視窗，實際上並沒有如開發者的預期達到保護的效果。

他也引用了Ellison使用者操作體驗定律假說，每當因為資安考量，開發者每增加一個需要點選的按鍵，就會嚇跑一半的使用者。Tobias說，推送這種提示訊息的做法根本是種錯誤，尤其有些對話框還讓使用者做出永久的決定，更是惡魔的行為。縱使後者是避免未來不斷詢問的解套機制，可是若是用戶一旦勾選了不適當的項目，其影響的後果可是相當深遠。

做為一個投入自由軟體開發的人員，Tobias認為，以往曾經會覺得用極為複雜的手法保護自己，是一件非常酷炫的事情，但是現在他會想到，對於家中沒有IT或是資安技術背景的親屬而言，根本無福享用這樣的安全機制，因此，Tobias說，由於自由軟體的開發，多半是自發性的開發人員參與，很容易從自己的需求進行設計，往往會忽略一般用戶操作的情境，而這樣的情況過往在X.org桌面環境上相當嚴重，會讓這些想要想要嘗試的用戶裹足不前。

他也一群布魯塞爾的大學生，想要以人工交換郵件的加密金鑰為例，200個人在只有攝氏2度低溫的冬天，站在戶外長達好幾個小時，僅僅是為了互相交換160位元的16進位密碼。然而，這樣的方法不僅極為麻煩，還可能會搞錯，像是8就容易與B弄混。這也突顯開發者可能認為是自得其樂的方式，但應用在一般使用者上會是場災難。

以無縫沙箱與情境式政策，增強作業系統的防護能力

因此，Tobias認為，桌面環境的資訊安全，應該在軟體開發時，就一併納入考量，而且在不影響使用者的操作流程為前提，強化相關的防護。例如，在應用程式的部分，他們就採用了容器化（Containerise）的Flatpak措施，避免系統的內容遭到惡意存取行為攻擊。

在Flatpak的環境中，這些應用程式只能在稱為namespaces的沙箱裡執行，因此除非系統開放了特殊權限，否則應用程式無權存取檔案系統、網路，以及電腦的連接埠，因此不像使用者帳戶控制（UAC），必須經由電腦使用者進行確認後放行，而是依據相關的原則，應用程式只能擁有得到許可的資源存取，至於大部分的執行方式都是在最小權限中運作。

再者，假冒USB裝置的攻擊手法，也相當常見，Tobias說，他們也在GNOME環境裡，提供一些情境，自動限制不正常的USB裝置加入情形，例如一般的電腦只有一個鍵盤，若是突然出現第2個鍵盤裝置，GNOME就會禁止連接，此外，像是在螢幕鎖定的狀態，或是在外部網路的環境中，也會阻止新增連結的USB裝置。