Библиотека Интернет Индустрии I2R.ru |
|||
|
Старый код в Windows — угроза безопасности13.06.2002 07:07 Microsoft раньше, чем планировалось, очистит Windows от старого кода — чтобы избавиться от багов, прятавшихся там многие годы. После четырех месяцев реализации инициативы trustworthy computing Microsoft решила ускорить процесс удаления старого кода из Windows и других продуктов, сказал в своем интервью главный в компании охотник за клопами. Этому откровению предшествовало предупреждение о серьезной уязвимости Microsoft Internet Explorer, связанной с ПО, поддерживающим давно устаревший протокол Gopher, который почти не используют с тех пор, как стал популярным World Wide Web. «Многие (предстоящие) изменения касаются исключения этой функции или ее отключения по умолчанию», — сказал директор по обеспечению безопасности ПО Microsoft и один из идеологов инициативы trustworthy computing Стив Липнер (Steve Lipner). По его словам, когда Microsoft оказывается перед выбором между удалением старого, возможно ненадежного, кода и сохранением функций в угоду небольшой кучке заказчиков, все чаще побеждает безопасность. В последнее время Microsoft критикуют за то, что ее инициатива повышения надежности ПО не приносит ощутимых результатов. С момента ее начала компания выпустила свыше 30 предупреждений об уязвимостях — ничуть не меньше, чем за тот же период прошлого года. 50 млн строк кода Еще до выхода Windows XP Microsoft говорила, что при определенных обстоятельствах пожертвует совместимостью ради повышения производительности. Однако последние непредвиденные проблемы безопасности ускорили процесс и подтолкнули компанию к исключению большего, чем предполагалось, объема старого кода. Правда, понять, как удалить потенциально проблематичный код, оказалось непросто. «Трудность в том, что приходится иметь дело с 50 млн строк кода, и каждая из них как-то влияет на остальные», — говорит главный специалист SRI International Питер Нойманн (Peter Neumann). Microsoft выступила со своей инициативой trustworthy computing в январе, после того как Билл Гейтс призвал сотрудников компании уделять больше внимания безопасности и меньше увлекаться созданием новых функций. Критики Microsoft сразу стали искать признаки каких-либо реальных изменений в подходе софтверного гиганта к вопросам безопасности. Однако внесение изменений в Windows может затянуться — это становится особенно очевидным, если знать историю системы. Нойманн, разработавший файловую систему для ОС Multics — предшественницы Unix, — утверждает, что безопасность ПО начинается с качественного проектирования с использованием модульных компонентов. «Отчасти проблема в том, что все слишком запутано, — говорит он. — Трудно гарантировать, что после удаления какого-нибудь фрагмента кода все остальное будет нормально работать». Если бы не бы ошибки, в совместимости с устаревшими протоколами не было бы ничего плохого. Но именно они докучают Microsoft. На прошлой неделе финский программист обнаружил, что функция, позволяющая Internet Explorer взаимодействовать с серверами Gopher, управляющими предшествующим вебу протоколом гипертекстовой информации, содержит уязвимость, которая делает пользователей ПК беззащитными перед атаками. По данным посвященного Gopher сайта, принадлежащего университету Point Loma Nazarene, GopherSpace, сеть серверов, поддерживающих протокол Gopher, включает сейчас менее 600 компьютеров и предлагает менее 8 млн ссылок. В вебе, по данным поисковой машины Google, свыше 2 млрд страниц. «Gopher — одна из функций, которые в Windows XP Service Pack 1 планировалось сделать выключенными по умолчанию, — говорит Липнер. — Ошибка обнаружилась раньше, но это лишний раз доказывает, что польза от инициативы безопасности все же есть. Значит, мы правильно ставили вопросы». Липнер не назвал другие функции, которые предполагается убрать, и не уточнил, как много в Windows XP устаревшего и нового кода, зато он объяснил, что процесс повышения надежности, разработанный компанией, предусматривает придумывание самых коварных атак против ее кода и разработку «модели угроз». Затем выискиваются все слабые звенья обороны, которые позволили бы осуществить такие атаки. «Разработчики и испытатели исследуют код и тестируют его в соответствии с приоритетами модели угроз», — сказал Липнер. Работа, по его словам, идет полным ходом: «Повышение надежности — большое дело». Роберт Лемос последние новости 01.02.2013 15:18 | Интернет и малые предприятия...» 22.01.2013 13:30 | Провал с планшетом от Microsoft...» 27.11.2012 13:14 | Ключ к лучшему софту для вас!...» 22.11.2012 14:39 | Выбор домашнего компьютера...» 16.11.2012 15:17 | Старый знакомый - Dr. Web...» 04.04.2012 13:35 | Как играть в игровые автоматы и как они устроены...» 04.04.2012 13:08 | Интернет-вклады набирают популярность...» 21.03.2007 17:33 | Вышел 3-й номер Юзабилити Бюллетеня...» 16.03.2007 00:16 | Индивидуальное обучение поисковому продвижению...» 15.03.2007 19:16 | Анонс места проведения PHPCONF 2007...» 14.03.2007 17:21 | Спонсоры конференции PHPCONF 2007...» 14.03.2007 00:29 | Аккредитация журналистов на участие в конференции «РИТ-2007» началась ...» 07.03.2007 12:12 | ЦБ обяжет аудиторов раскрывать банковскую тайну ...» 04.03.2007 20:30 | «1С» и «Битрикс» создают совместную компанию «1С–Битрикс»...» 01.03.2007 18:42 | Adobe выпустит Creative Suite 3 в конце марта...» 01.03.2007 17:44 | Oracle намерена приобрести Hyperion Solutions за $3,3 млрд ...» 28.02.2007 17:15 | Google улучшает систему уведомлений веб-мастеров...» 28.02.2007 16:09 | Adobe выпустит средства для редактирования видео в интернете...» 27.02.2007 19:29 | Большие ИТ-компании обещают возможности Web 2.0...» 27.02.2007 16:35 | Page Promoter 7.5: глобальная платформа для анализа, продвижения и управления ресурсом...» |
|
2000-2008 г. Все авторские права соблюдены. |
|