|
|
Библиотека Интернет Индустрии I2R.ru |
||
Старый код в Windows — угроза безопасности13.06.2002 07:07 Microsoft раньше, чем планировалось, очистит Windows от старого кода — чтобы избавиться от багов, прятавшихся там многие годы. После четырех месяцев реализации инициативы trustworthy computing Microsoft решила ускорить процесс удаления старого кода из Windows и других продуктов, сказал в своем интервью главный в компании охотник за клопами. Этому откровению предшествовало предупреждение о серьезной уязвимости Microsoft Internet Explorer, связанной с ПО, поддерживающим давно устаревший протокол Gopher, который почти не используют с тех пор, как стал популярным World Wide Web. «Многие (предстоящие) изменения касаются исключения этой функции или ее отключения по умолчанию», — сказал директор по обеспечению безопасности ПО Microsoft и один из идеологов инициативы trustworthy computing Стив Липнер (Steve Lipner). По его словам, когда Microsoft оказывается перед выбором между удалением старого, возможно ненадежного, кода и сохранением функций в угоду небольшой кучке заказчиков, все чаще побеждает безопасность. В последнее время Microsoft критикуют за то, что ее инициатива повышения надежности ПО не приносит ощутимых результатов. С момента ее начала компания выпустила свыше 30 предупреждений об уязвимостях — ничуть не меньше, чем за тот же период прошлого года. 50 млн строк кода Еще до выхода Windows XP Microsoft говорила, что при определенных обстоятельствах пожертвует совместимостью ради повышения производительности. Однако последние непредвиденные проблемы безопасности ускорили процесс и подтолкнули компанию к исключению большего, чем предполагалось, объема старого кода. Правда, понять, как удалить потенциально проблематичный код, оказалось непросто. «Трудность в том, что приходится иметь дело с 50 млн строк кода, и каждая из них как-то влияет на остальные», — говорит главный специалист SRI International Питер Нойманн (Peter Neumann). Microsoft выступила со своей инициативой trustworthy computing в январе, после того как Билл Гейтс призвал сотрудников компании уделять больше внимания безопасности и меньше увлекаться созданием новых функций. Критики Microsoft сразу стали искать признаки каких-либо реальных изменений в подходе софтверного гиганта к вопросам безопасности. Однако внесение изменений в Windows может затянуться — это становится особенно очевидным, если знать историю системы. Нойманн, разработавший файловую систему для ОС Multics — предшественницы Unix, — утверждает, что безопасность ПО начинается с качественного проектирования с использованием модульных компонентов. «Отчасти проблема в том, что все слишком запутано, — говорит он. — Трудно гарантировать, что после удаления какого-нибудь фрагмента кода все остальное будет нормально работать». Если бы не бы ошибки, в совместимости с устаревшими протоколами не было бы ничего плохого. Но именно они докучают Microsoft. На прошлой неделе финский программист обнаружил, что функция, позволяющая Internet Explorer взаимодействовать с серверами Gopher, управляющими предшествующим вебу протоколом гипертекстовой информации, содержит уязвимость, которая делает пользователей ПК беззащитными перед атаками. По данным посвященного Gopher сайта, принадлежащего университету Point Loma Nazarene, GopherSpace, сеть серверов, поддерживающих протокол Gopher, включает сейчас менее 600 компьютеров и предлагает менее 8 млн ссылок. В вебе, по данным поисковой машины Google, свыше 2 млрд страниц. «Gopher — одна из функций, которые в Windows XP Service Pack 1 планировалось сделать выключенными по умолчанию, — говорит Липнер. — Ошибка обнаружилась раньше, но это лишний раз доказывает, что польза от инициативы безопасности все же есть. Значит, мы правильно ставили вопросы». Липнер не назвал другие функции, которые предполагается убрать, и не уточнил, как много в Windows XP устаревшего и нового кода, зато он объяснил, что процесс повышения надежности, разработанный компанией, предусматривает придумывание самых коварных атак против ее кода и разработку «модели угроз». Затем выискиваются все слабые звенья обороны, которые позволили бы осуществить такие атаки. «Разработчики и испытатели исследуют код и тестируют его в соответствии с приоритетами модели угроз», — сказал Липнер. Работа, по его словам, идет полным ходом: «Повышение надежности — большое дело». Роберт Лемос последние новости 02.01.2007 14:06 | Photoshop CS3: быстрее и богаче возможностями...» 01.01.2007 19:24 | "Кривые" сайты вызывают у людей синдром мышиного бешенства...» 01.01.2007 17:05 | Новый алгоритм Google для борьбы со спамом...» 01.01.2007 16:59 | Corel поддержит и ODF, и Open XML...» 30.12.2006 16:26 | Adobe делится новостями: After Effects & Creative Suite 3.0...» 27.12.2006 21:54 | О выходе версии 8.1 платформы "1С:Предприятие"...» 27.12.2006 20:59 | IE 7 будет проверять безопасность сайтов...» 22.12.2006 18:28 | Поисковая система Codavr.Ru для вебмастеров...» 20.12.2006 20:33 | Из популярных сайтов вычли поп-апы...» 19.12.2006 20:25 | Технология CSS отпраздновала десятилетие...» 19.12.2006 15:31 | Совместная акция PromoSoft и SEO-Study...» 11.12.2006 14:25 | Вышла альфа-версия браузера Firefox 3.0...» 08.12.2006 21:10 | У технологии WebFaces появились первые пользователи...» 06.12.2006 18:14 | MOPOTO: мобильный фото блог...» 06.12.2006 14:36 | Allsoft.ru предоставил новый сервис компании "Вобис Россия"...» 05.12.2006 21:18 | Инвалиды лишены доступа ко многим ведущим web-сайтам...» 05.12.2006 19:48 | Google растит новое поколение интернетчиков...» 04.12.2006 12:50 | Современные технологии usability-тестирования на конференции SEC(R)...» 02.12.2006 21:01 | Webalta предлагает новый сервис...» 01.12.2006 19:19 | Microsoft предлагает новые инструменты для веб-дизайнеров...» |
|
 |
 |
2000-2008 г. Все авторские права соблюдены. |
|
 |
|
