|
|
Библиотека Интернет Индустрии I2R.ru |
||
Старый код в Windows — угроза безопасности13.06.2002 07:07 Microsoft раньше, чем планировалось, очистит Windows от старого кода — чтобы избавиться от багов, прятавшихся там многие годы. После четырех месяцев реализации инициативы trustworthy computing Microsoft решила ускорить процесс удаления старого кода из Windows и других продуктов, сказал в своем интервью главный в компании охотник за клопами. Этому откровению предшествовало предупреждение о серьезной уязвимости Microsoft Internet Explorer, связанной с ПО, поддерживающим давно устаревший протокол Gopher, который почти не используют с тех пор, как стал популярным World Wide Web. «Многие (предстоящие) изменения касаются исключения этой функции или ее отключения по умолчанию», — сказал директор по обеспечению безопасности ПО Microsoft и один из идеологов инициативы trustworthy computing Стив Липнер (Steve Lipner). По его словам, когда Microsoft оказывается перед выбором между удалением старого, возможно ненадежного, кода и сохранением функций в угоду небольшой кучке заказчиков, все чаще побеждает безопасность. В последнее время Microsoft критикуют за то, что ее инициатива повышения надежности ПО не приносит ощутимых результатов. С момента ее начала компания выпустила свыше 30 предупреждений об уязвимостях — ничуть не меньше, чем за тот же период прошлого года. 50 млн строк кода Еще до выхода Windows XP Microsoft говорила, что при определенных обстоятельствах пожертвует совместимостью ради повышения производительности. Однако последние непредвиденные проблемы безопасности ускорили процесс и подтолкнули компанию к исключению большего, чем предполагалось, объема старого кода. Правда, понять, как удалить потенциально проблематичный код, оказалось непросто. «Трудность в том, что приходится иметь дело с 50 млн строк кода, и каждая из них как-то влияет на остальные», — говорит главный специалист SRI International Питер Нойманн (Peter Neumann). Microsoft выступила со своей инициативой trustworthy computing в январе, после того как Билл Гейтс призвал сотрудников компании уделять больше внимания безопасности и меньше увлекаться созданием новых функций. Критики Microsoft сразу стали искать признаки каких-либо реальных изменений в подходе софтверного гиганта к вопросам безопасности. Однако внесение изменений в Windows может затянуться — это становится особенно очевидным, если знать историю системы. Нойманн, разработавший файловую систему для ОС Multics — предшественницы Unix, — утверждает, что безопасность ПО начинается с качественного проектирования с использованием модульных компонентов. «Отчасти проблема в том, что все слишком запутано, — говорит он. — Трудно гарантировать, что после удаления какого-нибудь фрагмента кода все остальное будет нормально работать». Если бы не бы ошибки, в совместимости с устаревшими протоколами не было бы ничего плохого. Но именно они докучают Microsoft. На прошлой неделе финский программист обнаружил, что функция, позволяющая Internet Explorer взаимодействовать с серверами Gopher, управляющими предшествующим вебу протоколом гипертекстовой информации, содержит уязвимость, которая делает пользователей ПК беззащитными перед атаками. По данным посвященного Gopher сайта, принадлежащего университету Point Loma Nazarene, GopherSpace, сеть серверов, поддерживающих протокол Gopher, включает сейчас менее 600 компьютеров и предлагает менее 8 млн ссылок. В вебе, по данным поисковой машины Google, свыше 2 млрд страниц. «Gopher — одна из функций, которые в Windows XP Service Pack 1 планировалось сделать выключенными по умолчанию, — говорит Липнер. — Ошибка обнаружилась раньше, но это лишний раз доказывает, что польза от инициативы безопасности все же есть. Значит, мы правильно ставили вопросы». Липнер не назвал другие функции, которые предполагается убрать, и не уточнил, как много в Windows XP устаревшего и нового кода, зато он объяснил, что процесс повышения надежности, разработанный компанией, предусматривает придумывание самых коварных атак против ее кода и разработку «модели угроз». Затем выискиваются все слабые звенья обороны, которые позволили бы осуществить такие атаки. «Разработчики и испытатели исследуют код и тестируют его в соответствии с приоритетами модели угроз», — сказал Липнер. Работа, по его словам, идет полным ходом: «Повышение надежности — большое дело». Роберт Лемос последние новости 13.06.2002 17:32 | Работоспособность европейского интернета поддерживается добровольцами...» 13.06.2002 17:26 | Выпущен сборник OpenOffice.ru...» 13.06.2002 16:52 | Newsbytes тихо ушел в небытие...» 13.06.2002 13:45 | "Большая Двадцатка" Рамблера: скачки и падения...» 13.06.2002 12:19 | Поможет ли ИТ-индустрии новое агентство защиты отечества?...» 13.06.2002 12:10 | Компьютер дрессирует крыс...» 13.06.2002 09:16 | Надвигается волна онлайновых игр...» 13.06.2002 08:13 | Хакеры превратили Xbox в видеоплеер...» 13.06.2002 07:07 | Старый код в Windows — угроза безопасности...» 13.06.2002 05:58 | Klez - вирус для среднего класса...» 13.06.2002 04:56 | Интернет через три года...» 13.06.2002 02:54 | Успехи Поднебесной вдохновляют SAP...» 13.06.2002 01:50 | КПК в корпоративных системах -- роскошь...» 12.06.2002 14:54 | Аутсорсинг на высшем уровне...» 12.06.2002 12:29 | Рексофт построит платформу для Swisscom...» 12.06.2002 11:26 | Впервые за 7 лет Yahoo! поменяет дизайн...» 12.06.2002 11:14 | PHP популярнее, чем Active Server Pages от Microsoft...» 12.06.2002 08:11 | Двери открываются по телефонному звонку...» 12.06.2002 05:16 | Ваш компьютер может сразиться с Каспаровым...» 12.06.2002 04:14 | МТС получила награду журнала Euromoney...» |
|
 |
 |
2000-2008 г. Все авторские права соблюдены. |
|
 |
|
