|
|
Библиотека Интернет Индустрии I2R.ru |
||
Старый код в Windows — угроза безопасности13.06.2002 07:07 Microsoft раньше, чем планировалось, очистит Windows от старого кода — чтобы избавиться от багов, прятавшихся там многие годы. После четырех месяцев реализации инициативы trustworthy computing Microsoft решила ускорить процесс удаления старого кода из Windows и других продуктов, сказал в своем интервью главный в компании охотник за клопами. Этому откровению предшествовало предупреждение о серьезной уязвимости Microsoft Internet Explorer, связанной с ПО, поддерживающим давно устаревший протокол Gopher, который почти не используют с тех пор, как стал популярным World Wide Web. «Многие (предстоящие) изменения касаются исключения этой функции или ее отключения по умолчанию», — сказал директор по обеспечению безопасности ПО Microsoft и один из идеологов инициативы trustworthy computing Стив Липнер (Steve Lipner). По его словам, когда Microsoft оказывается перед выбором между удалением старого, возможно ненадежного, кода и сохранением функций в угоду небольшой кучке заказчиков, все чаще побеждает безопасность. В последнее время Microsoft критикуют за то, что ее инициатива повышения надежности ПО не приносит ощутимых результатов. С момента ее начала компания выпустила свыше 30 предупреждений об уязвимостях — ничуть не меньше, чем за тот же период прошлого года. 50 млн строк кода Еще до выхода Windows XP Microsoft говорила, что при определенных обстоятельствах пожертвует совместимостью ради повышения производительности. Однако последние непредвиденные проблемы безопасности ускорили процесс и подтолкнули компанию к исключению большего, чем предполагалось, объема старого кода. Правда, понять, как удалить потенциально проблематичный код, оказалось непросто. «Трудность в том, что приходится иметь дело с 50 млн строк кода, и каждая из них как-то влияет на остальные», — говорит главный специалист SRI International Питер Нойманн (Peter Neumann). Microsoft выступила со своей инициативой trustworthy computing в январе, после того как Билл Гейтс призвал сотрудников компании уделять больше внимания безопасности и меньше увлекаться созданием новых функций. Критики Microsoft сразу стали искать признаки каких-либо реальных изменений в подходе софтверного гиганта к вопросам безопасности. Однако внесение изменений в Windows может затянуться — это становится особенно очевидным, если знать историю системы. Нойманн, разработавший файловую систему для ОС Multics — предшественницы Unix, — утверждает, что безопасность ПО начинается с качественного проектирования с использованием модульных компонентов. «Отчасти проблема в том, что все слишком запутано, — говорит он. — Трудно гарантировать, что после удаления какого-нибудь фрагмента кода все остальное будет нормально работать». Если бы не бы ошибки, в совместимости с устаревшими протоколами не было бы ничего плохого. Но именно они докучают Microsoft. На прошлой неделе финский программист обнаружил, что функция, позволяющая Internet Explorer взаимодействовать с серверами Gopher, управляющими предшествующим вебу протоколом гипертекстовой информации, содержит уязвимость, которая делает пользователей ПК беззащитными перед атаками. По данным посвященного Gopher сайта, принадлежащего университету Point Loma Nazarene, GopherSpace, сеть серверов, поддерживающих протокол Gopher, включает сейчас менее 600 компьютеров и предлагает менее 8 млн ссылок. В вебе, по данным поисковой машины Google, свыше 2 млрд страниц. «Gopher — одна из функций, которые в Windows XP Service Pack 1 планировалось сделать выключенными по умолчанию, — говорит Липнер. — Ошибка обнаружилась раньше, но это лишний раз доказывает, что польза от инициативы безопасности все же есть. Значит, мы правильно ставили вопросы». Липнер не назвал другие функции, которые предполагается убрать, и не уточнил, как много в Windows XP устаревшего и нового кода, зато он объяснил, что процесс повышения надежности, разработанный компанией, предусматривает придумывание самых коварных атак против ее кода и разработку «модели угроз». Затем выискиваются все слабые звенья обороны, которые позволили бы осуществить такие атаки. «Разработчики и испытатели исследуют код и тестируют его в соответствии с приоритетами модели угроз», — сказал Липнер. Работа, по его словам, идет полным ходом: «Повышение надежности — большое дело». Роберт Лемос последние новости 04.09.2006 17:17 | "Социальная сеть": от "френд-листа" к "рабочей группе"...» 04.09.2006 15:21 | Weblog Awards определит лучшие из блогов...» 04.09.2006 13:16 | Opera 9 станет лучшим браузером для Ajax...» 03.09.2006 17:05 | Социальная сеть: попытка определения...» 03.09.2006 09:28 | Дорвеи наносят ответный удар...» 01.09.2006 20:30 | «Яндекс» ударил по дорвеям ...» 31.08.2006 14:36 | Google открывает библиотеки для всех...» 31.08.2006 13:57 | Русский вошел в десятку самых популярных языков интернета...» 31.08.2006 13:49 | Google запустила сайт для веб-мастеров...» 30.08.2006 19:42 | Набор WEB 2.0 инструментов серферу на заметку...» 30.08.2006 18:52 | Google и eBay будут сотрудничать...» 29.08.2006 15:36 | MoiKrug.ru начал показывать новости с учетом интересов...» 29.08.2006 15:18 | В зонах .info и .biz будет действовать "поярусная" система регистрации...» 29.08.2006 14:54 | Вышел первый релиз-кандидат Internet Explorer 7...» 29.08.2006 14:04 | Бесплатный семинар по анализу, продвижению и управлению ресурсом...» 29.08.2006 13:59 | V конференция «Поисковая оптимизация и продвижение сайтов в Интернете»...» 29.08.2006 13:16 | Простой чат в стиле WEB 2.0...» 29.08.2006 12:19 | Дэйвид Армано. Люди, которым нужны ярлычки...» 29.08.2006 12:05 | Роджер Дули. Норман и Нильсен – противостояние в веб-дизайне...» 28.08.2006 18:31 | W3C выпустил обновлённые спецификации стандарта XML...» |
|
 |
 |
2000-2008 г. Все авторские права соблюдены. |
|
 |
|
