|
|
Библиотека Интернет Индустрии I2R.ru |
||
Спор по поводу «ошибки» Microsoft не утихает18.02.2002 01:57 Заявление компании Cigital о ненадежности элемента защиты нового комплекса инструментов разработки Microsoft переросло в дискуссию по поводу степени защищенности ПО софтверного гиганта в целом. Центральный вопрос дебатов: служит ли этот элемент – программный переключатель GS flag, включающий дополнительный уровень защиты, – жертвой производительностью ради безопасности. Криспин Коуен (Crispin Cowan), главный специалист разрабатывающей Linux-приложения повышенной надежности компании WireX Communications и сооснователь посвященного вопросам безопасности сайта Sardonix.org, сравнивает GS flag с бронежилетом, защищающим от пуль определенного калибра. «Все разногласия сводятся к размеру пуль, способных проникать сквозь бронежилет», – говорит он. В 1998 году Коуен с аспирантами из Университета штата Орегон опубликовали доклад, в котором содержится описание точно такого же «бронежилета» для программного обеспечения, который они назвали StackGuard. С тех пор эта технология применялась тысячами open-source программистов. Многие видят в Microsoft GS flag основные черты схемы Коуена. Спор разгорелся в пятницу, когда Microsoft отвергла как «необоснованное, а возможно и ошибочное» обвинение в том, что ее новые инструменты программирования уязвимы для хакерских атак. В среду Microsoft анонсировала Visual C++.Net и Visual C++ Version 7, а всего через несколько часов компания Cigital заявила о некорректности элемента защиты этих программ. «В его существующей форме данный элемент внушает ложное чувство безопасности, так как его легко обойти», – говорится в техническом материале, опубликованном Cigital. Программа, использующая опцию GS flag, выполняет дополнительные инструкции, которые помогают обнаружить уязвимости определенного рода, называемые переполнением буфера. На самом деле речь идет не об уязвимости ПО, а о том, что GS flag помогает не во всех случаях – с этим согласны обе компании. По словам Microsoft, чтобы достичь еще более высокой степени безопасности, в новые приложения пришлось бы добавлять слишком много кода, а это привело бы к чрезмерному замедлению их работы. А при выбранной конструкции удается избежать по крайней мере некоторых случаев переполнения буфера, говорит менеджер программы разработки компилятора Microsoft Visual C++ Брэндон Брэй (Brandon Bray). – Мы придерживаемся мнения, что лучшим и единственно надежным способом защиты ПО является устранение любой вероятности переполнения буфера в исходном коде, – пишет Брэй в своем заявлении. – Однако такие места не всегда легко обнаружить. Поэтому каждый, кто действительно стремится создать надежную программу, не колеблясь воспользуется функцией GS flag». Microsoft настаивает на том, что хороша любая дополнительная защита, которую можно ввести в программу. Cigital же возражает на это, что введением GS flag Microsoft лишь создает видимость безопасности. «Я остаюсь при своем мнении, что механизмы защиты спроектированы некорректно, – говорит главный технолог Cigital Гэри Макгроу (Gary McGraw). – Заверения Microsoft, ,будто GS flag помогает обеспечить безопасность, преувеличены». Обе стороны вряд ли придут к согласию, однако многие эксперты поддерживают Microsoft в том, что хоть какая-то защита лучше, чем ничего. «По крайней мере, они ввели проверку переполнения буфера в процессе выполнения программы, чего не было в других компиляторах (для Windows), – говорит директор по исследованиям и разработкам компании @Stake Крис Уисопал (Chris Wysopal). – Это шаг в правильном направлении, но из-за технологических ограничений выловить всё просто невозможно». Роберт Лемос последние новости 18.02.2002 10:56 | В Рунете запущен специализированный веб-сервис для маркетологов...» 18.02.2002 10:51 | Утвержден новый стандарт цифровой подписи...» 18.02.2002 10:44 | Дизайн Артель разработала сайт для Агентства Гревцова...» 18.02.2002 10:12 | Microsoft зарабатывает на российских школах...» 18.02.2002 10:09 | Вышел Rational XDE - первый продукт, полностью интегрирующий процесс проектирования и разработки информационных систем в Visual Studio .Net и IBM WebSphere...» 18.02.2002 08:49 | Прямая навигация наступает по всему миру...» 18.02.2002 07:55 | Операционные системы будущего рождаются сейчас в лабораториях Microsoft, IBM и американских университетов...» 18.02.2002 06:36 | "Би Лайн" до конца марта предоставляет прямой номер по цене федерального...» 18.02.2002 05:08 | Как различить плохих и хороших персонажей телесериалов по типу используемого компьютера...» 18.02.2002 04:02 | Скандал Enron бьет по IBM...» 18.02.2002 03:51 | Робот открыл торги на бирже ...» 18.02.2002 02:38 | Трудные времена оптики и волокна...» 18.02.2002 02:37 | Lycos реогранизовал проект Tripod...» 18.02.2002 02:11 | Беззонная PlayStation: в США арестовывают, в Австралии приветствуют ...» 18.02.2002 02:02 | Intel Developer Forum: McKinleys будет в изобилии...» 18.02.2002 01:57 | Спор по поводу «ошибки» Microsoft не утихает...» 18.02.2002 01:49 | FCC разрешила коммерческое применение ультраширокополосной технологии...» 18.02.2002 00:44 | Microsoft потратит на рекламу .NET более 200 миллионов долларов...» 18.02.2002 00:35 | Суд приказал Microsoft открыть исходники Windows...» 17.02.2002 09:20 | Выпущена новая версия интернет-пейджера MSN Messenger ...» |
|
 |
 |
2000-2008 г. Все авторские права соблюдены. |
|
 |
|
