На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2002-2-17 на главную / новости от 2002-2-17
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 17 февраля 2002 г.

Спор по поводу «ошибки» Microsoft не утихает

Заявление компании Cigital о ненадежности элемента защиты нового комплекса инструментов разработки Microsoft переросло в дискуссию по поводу степени защищенности ПО софтверного гиганта в целом.

Центральный вопрос дебатов: пожертвовали ли разработчики, вводя в свое ПО этот элемент – программный переключатель GS flag, включающий дополнительный уровень защиты, – производительностью ради безопасности. Криспин Коуэн (Crispin Cowan), главный специалист разрабатывающей Linux-приложения повышенной надежности компании WireX Communications и сооснователь посвященного вопросам безопасности сайта Sardonix.org, сравнивает GS flag с бронежилетом, защищающим от пуль определенного калибра. «Все разногласия сводятся к размеру пуль, способных проникать сквозь бронежилет», – говорит он.

В 1998 году Коуэн совместно с аспирантами из Университета штата Орегон опубликовал доклад, в котором содержится описание точно такого же «бронежилета» для программного обеспечения, который они назвали StackGuard. С тех пор эта технология применялась тысячами open-source программистов. Многие видят в Microsoft GS flag основные черты схемы Коуэна.

Спор разгорелся в пятницу, когда Microsoft отвергла как «необоснованное, а возможно, и ошибочное» обвинение в том, что ее новые инструменты программирования уязвимы для хакерских атак. В среду Microsoft анонсировала Visual C++.Net и Visual C++ Version 7, а всего через несколько часов компания Cigital заявила о некорректности элемента защиты этих программ. «В его существующей форме данный элемент внушает ложное чувство безопасности, так как его легко обойти», – говорится в техническом материале, опубликованном Cigital. Программа, использующая опцию GS flag, выполняет дополнительные инструкции, которые помогают обнаружить уязвимости определенного рода, называемые переполнением буфера.

На самом деле речь идет не об уязвимости ПО, а о том, что GS flag помогает не во всех случаях, – с этим согласны обе компании. По словам Microsoft, чтобы достичь еще более высокой степени безопасности, в новые приложения пришлось бы добавлять слишком много кода, что привело бы к чрезмерному замедлению их работы. А при выбранной конструкции удается избежать по крайней мере некоторых случаев переполнения буфера, говорит менеджер программы разработки компилятора Microsoft Visual C++ Брэндон Брэй (Brandon Bray). «Мы придерживаемся мнения, что лучшим и единственно надежным способом защиты ПО является устранение любой вероятности переполнения буфера в исходном коде, – пишет Брэй в своем заявлении. – Однако такие места не всегда легко обнаружить. Поэтому каждый, кто действительно стремится создать надежную программу, не колеблясь воспользуется функцией GS flag».

Microsoft настаивает на том, что хороша любая дополнительная защита, которую можно ввести в программу. Cigital же возражает на это, что введением GS flag Microsoft лишь создает видимость безопасности. «Я остаюсь при своем мнении: механизмы защиты спроектированы некорректно, – говорит главный технолог Cigital Гэри Макгроу (Gary McGraw). – Заверения Microsoft, будто GS flag помогает обеспечить безопасность, преувеличены».

Обе стороны вряд ли придут к согласию, однако многие эксперты поддерживают Microsoft в том, что хоть какая-то защита лучше, чем вообще ничего. «По крайней мере, они ввели проверку переполнения буфера в процессе выполнения программы, чего не было в других компиляторах (для Windows), – говорит директор по исследованиям и разработкам компании @Stake Крис Уисопал (Chris Wysopal). – Это шаг в правильном направлении, но из-за технологических ограничений выловить всё просто невозможно». 

 Предыдущие публикации:
2001-06-08   Разгорается спор вокруг безопасности Windows ХР
2002-01-24   Академия наук: за глюки ─ под суд
2002-02-14   Microsoft представила Visual Studio.Net
 В продолжение темы:
2002-02-22   Организация по интернет-безопасности будет собирать всех «клопов»
Обсуждение и комментарии
Хрюн
18 Feb 2002 1:44 AM
Лучший кофе на дороге - отхлебнешь протянешь ноги!
 

Сергей
18 Feb 2002 6:11 PM
Ну и что?
Давно известно, что Майкрософт выпускает продукты не доделав. Но со временем они все внесут и исправят, в этом я уверен.
 

VicTor
18 Feb 2002 8:27 PM
Ню-ню... Блажен, кто верует...
 

Goblin
19 Feb 2002 9:41 AM
Внесут, внесут, можешь не сомневаться.
Потом ещё внесут и ещё.
И будут вносить и вносить.
И во веки веков.
Аминь.
 

qwerty
19 Feb 2002 3:55 PM
А мне с него не стрелять. А чем больше бардака, тем лучше. Можно дольше клиента доить. Сколько бабок срубили на "2000". Золотое дно.
 

йцукен
20 Feb 2002 1:44 AM
>...Сколько бабок срубили на
>"2000". Золотое ДНО.
 

qwerty
20 Feb 2002 4:45 PM
2 йцукен: Извини, моя врожденная тупорылость не позволяет осознать толщины юмора. Разъясни для бывшего старлея Советской Армии. Заранее благодарен. Целую.
 

Programmer - cppcpp.cpp
1 Mar 2002 5:59 AM
>>Давно известно, что Майкрософт выпускает продукты...
МакроSuxx выпускает продукты ?! Хо-хо ! Они выпускают только дерьмо ! (правда высококачественное :)))
 

Злая
3 Mar 2002 12:26 PM
2Программер: что такое GS flag - может расскажете... А то тут на ZDnet в основном деньги зарабатывают и мозги пудрят :)
 

 

← январь 2002 12  13  14  15  17  18  19  20  21 март 2002 →
Реклама!
 

 

Место для Вашей рекламы!