На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2002-6-10 на главную / новости от 2002-6-10
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 10 июня 2002 г.

Старый код в Windows — угроза безопасности

Microsoft раньше, чем планировалось, очистит Windows от старого кода — чтобы избавиться от багов, прятавшихся там многие годы.

После четырех месяцев реализации инициативы trustworthy computing Microsoft решила ускорить процесс удаления старого кода из Windows и других продуктов, сказал в своем интервью главный в компании охотник за клопами. Этому откровению предшествовало предупреждение о серьезной уязвимости Microsoft Internet Explorer, связанной с ПО, поддерживающим давно устаревший протокол Gopher, который почти не используют с тех пор, как стал популярным World Wide Web. «Многие (предстоящие) изменения касаются исключения этой функции или ее отключения по умолчанию», — сказал директор по обеспечению безопасности ПО Microsoft и один из идеологов инициативы trustworthy computing Стив Липнер (Steve Lipner). По его словам, когда Microsoft оказывается перед выбором между удалением старого, возможно ненадежного, кода и сохранением функций в угоду небольшой кучке заказчиков, все чаще побеждает безопасность.

В последнее время Microsoft критикуют за то, что ее инициатива повышения надежности ПО не приносит ощутимых результатов. С момента ее начала компания выпустила свыше 30 предупреждений об уязвимостях — ничуть не меньше, чем за тот же период прошлого года.

50 млн строк кода
Еще до выхода Windows XP Microsoft говорила, что при определенных обстоятельствах пожертвует совместимостью ради повышения производительности. Однако последние непредвиденные проблемы безопасности ускорили процесс и подтолкнули компанию к исключению большего, чем предполагалось, объема старого кода. Правда, понять, как удалить потенциально проблематичный код, оказалось непросто. «Трудность в том, что приходится иметь дело с 50 млн строк кода, и каждая из них как-то влияет на остальные», — говорит главный специалист SRI International Питер Нойманн (Peter Neumann).

Microsoft выступила со своей инициативой trustworthy computing в январе, после того как Билл Гейтс призвал сотрудников компании уделять больше внимания безопасности и меньше увлекаться созданием новых функций. Критики Microsoft сразу стали искать признаки каких-либо реальных изменений в подходе софтверного гиганта к вопросам безопасности. Однако внесение изменений в Windows может затянуться — это становится особенно очевидным, если знать историю системы.

Нойманн, разработавший файловую систему для ОС Multics — предшественницы Unix, — утверждает, что безопасность ПО начинается с качественного проектирования с использованием модульных компонентов. «Отчасти проблема в том, что все слишком запутано, — говорит он. — Трудно гарантировать, что после удаления какого-нибудь фрагмента кода все остальное будет нормально работать».

Если бы не бы ошибки, в совместимости с устаревшими протоколами не было бы ничего плохого. Но именно они докучают Microsoft. На прошлой неделе финский программист обнаружил, что функция, позволяющая Internet Explorer взаимодействовать с серверами Gopher, управляющими предшествующим вебу протоколом гипертекстовой информации, содержит уязвимость, которая делает пользователей ПК беззащитными перед атаками. По данным посвященного Gopher сайта, принадлежащего университету Point Loma Nazarene, GopherSpace, сеть серверов, поддерживающих протокол Gopher, включает сейчас менее 600 компьютеров и предлагает менее 8 млн ссылок. В вебе, по данным поисковой машины Google, свыше 2 млрд страниц.

«Gopher — одна из функций, которые в Windows XP Service Pack 1 планировалось сделать выключенными по умолчанию, — говорит Липнер. — Ошибка обнаружилась раньше, но это лишний раз доказывает, что польза от инициативы безопасности все же есть. Значит, мы правильно ставили вопросы». Липнер не назвал другие функции, которые предполагается убрать, и не уточнил, как много в Windows XP устаревшего и нового кода, зато он объяснил, что процесс повышения надежности, разработанный компанией, предусматривает придумывание самых коварных атак против ее кода и разработку «модели угроз». Затем выискиваются все слабые звенья обороны, которые позволили бы осуществить такие атаки. «Разработчики и испытатели исследуют код и тестируют его в соответствии с приоритетами модели угроз», — сказал Липнер. Работа, по его словам, идет полным ходом: «Повышение надежности — большое дело». 

 Предыдущие публикации:
2002-02-08   Microsoft поднимает разработчиков по учебной тревоге
2002-02-21   Microsoft готовит секьюрити-сканер
2002-05-01   Да здравствует Windows без излишеств!
 В продолжение темы:
2002-07-25   Apple и Microsoft готовят к выпуску обновления ОС
2002-07-31   Microsoft выпускает поправки к Windows 2000
2002-10-09   Microsoft намеревается брать деньги за безопасность
Обсуждение и комментарии
eXOR - billgmicrosoft.com
10 Jun 2002 8:45 PM
Замечательно... Небольшая кучка заказчиков... Ай да мелкософт - ай да молодца... наплодили кучи кала... а расплачиваться теперь за это придется другим компаниям и заказчикам...
 

Vinni-Pux - vinni_pux_uayahoo.com
10 Jun 2002 9:08 PM
Еще отвратительней становится от мысли что теперь с увеличением количества подобных новостей, все ламоты будут думать
что именно Великий Билл устроил великую столетнюю войну с багами и что именно его компания является лучшей и непобедимой в этой войне ....
 

me - userinternet.com
11 Jun 2002 12:05 AM
>> Трудность в том, что приходится иметь дело с 50 млн строк кода, и каждая из них как-то влияет на остальные

Я рыдаю:))) Надо будет напечатать огромными буквами и повесить у нас в офисе:))

>> расплачиваться теперь за это придется другим компаниям и заказчикам...
Бизнес, батенька, бизнес. Увы, это так.
 

Puzan
11 Jun 2002 12:57 AM
Eto Hacere ugroza bezopasnoste a ne Microsoft source code. MS Windows bolee horosho zachihen ot virusev hem Linux eto prosto potomuhto Linuxom necto nepolzuetsy k nemu necto virusov e ne pishet.
 

D.Mon
11 Jun 2002 1:33 AM
LINUX - это и есть один большой вирус.
 

Skull - sibskullmail.ru
11 Jun 2002 5:11 AM
2Puzan: "MS Windows bolee horosho zachihen ot virusev hem Linux" - я рыдаю, катаясь по полу!!! Идите настройте русскую локаль в своей Виндозе и купите книжку великого БГ - он вам и не так мозги зас?рит. Последние события как нельзя лучше показывают насколько глюкав и убог Windows.
 

eXOR - billgmicrosoft.com
11 Jun 2002 9:32 AM
2 Puzan:
Ага... на C3 был сертифицирован WinNT без флопаря и сетевой карты... не лезь в обсужденние, если в вопросе не шаришь.

2 D.Mon:
Ага... и нет в мире бога кроме Microsoft и Билл Гейтс пророк его. А Д.Мон обычный рядовой фанатик.
 

eXOR - billgmicrosoft.com
11 Jun 2002 9:32 AM
2 me:
>Я рыдаю:))) Надо будет напечатать огромными буквами и повесить у
>нас в офисе:))
Не рыдай... не только у вас надо это повесить :-).
 

miroh
11 Jun 2002 9:56 AM
2eXOR
и нет в мире бAга кроме Microsoft и Билл Гейтс пророк его.
 

Слопер
11 Jun 2002 10:51 AM
Мне кажется, что это очередная рекламная компания от Микрософт. Они, конечно же, будут что-то менять в сторону увеличения стабильности работы, но, по-моему, совсем не теми темпами, о которых кричат.

Вообще, складывается ощущение, что фирма Микрософт работает по принципу открытого исходного кода. Разница только в том, что исходного кода простому смертному не видать, а с продаж бета (или даже альфа) версий своего ПО (финальными их назвать не поворачивается язык) снимаются хорошие сливки. Таким образом экономится время и деньги на отладчиков. Вцелом очень мудрая политики с точки зрения зарабатывания денег. Вот только долго ли они продержатся еще с таким подходом.
 

eXOR - billgmicrosoft.com
11 Jun 2002 11:28 AM
2 miroh:
Есть.
 

tstone - saldomail.ru
11 Jun 2002 12:43 PM
> Трудность в том, что приходится иметь дело с 50 млн строк
> кода, и каждая из них как-то влияет на остальные

Не мудрено, с таким-то "главным архитектором ПО". На "интегрировали" на свою голову.
 

PTO - kruchkovkgb.ru
11 Jun 2002 1:28 PM
2 eXOR: NT был сертифицирован на С2 без флопаря (таково _требование_ сертификации) и сетевой карты, что правда... Вин2000 сертифицирован по полной программе и как сервер и как рабочая станция на С2 с сетью
 

RSM
11 Jun 2002 1:52 PM
А поподробнее можно про сертифицированность Win2k на C2? Microsoft догадывается только о сетифицированности SQL 2000 (кстати сертифицировался он на базу NT 4.0 - так что все так же без флоповода и сети, если я правильно понимаю), самой NT 4.0 и NT 3.5

http://www.microsoft.com/technet/treeview/default.asp?url=/ technet/security/news/c2eval.asp

других данных обнаружено небыло. Если не затруднит, то отыщите вы мне этот источник информации с данными о завершении сертификации Win2k на C2, а то кидаетесь вы последнее время фразами, странного содержания.

PS: а на кой нужен SQL Server без сети? =)
 

RSM
11 Jun 2002 1:53 PM
"11 июня, 2002, 13:52 - RSM" - это было для PTO естественно...
 

PTO - kruchkovkgb.ru
11 Jun 2002 2:06 PM
2 RSM: конечно же я описался... сертифицирована НТ4 была с сетью см. http://www.microsoft.com/technet/security/news/c2faq.asp
Six configurations, including TCP/IP networked and stand-alone modes:
A server acting as a primary domain controller
A server acting as a backup domain controller
A server acting as a member server
A server acting as a non-member server
A workstation that is a member of a domain
A workstation that is not a member of a domain

и уже поверх него испытания SQL Server 2000 - аналогично с сетью tcp/ip и даже с репликацией между серверами...

Прошу прощения у тех, кого ввел в заблуждение, поторопился немного...
 

RSM
11 Jun 2002 2:08 PM
о! и еще к слову о сетификации... вот вам списочек продуктов сертифицированных на все классы (A,B,C) от того, кто этой сертификацией собственно и занимается:

http://www.radium.ncsc.mil/tpep/epl/epl-by-class.html

так вот никакого Windows 2000 там что-то вообще не наблюдается... не вводите людей в заблуждение, pls =)
 

RSM
11 Jun 2002 2:10 PM
2PTO:

извинения приняты =) предыдущее сообщение отправлено еще до того, как прочитал ваше последнее сообщение =)

PS: имею ввиду не будем флейма по этому поводу раздувать кто и что не так сказал =)
 

RSM
11 Jun 2002 2:33 PM
2PTO:

в таком случае следует забивать на Win2k и MS SQL Server в контексте безопасности... Solaris 8 и Oracle 8 (имеется ввиду релиз 8.1.7) свои EAL4 получили уже в 2000/01 годах =) - так что в связке - они весьма безопасны и производительны... в отличии от NT 4 и SQL 2000...
 

RSM
11 Jun 2002 2:36 PM
в добавление к предыдущему, хоть этот Common Criteria и не отвечает за "accuracy or completeness" списка, но все же Microsoft там что-то вообще не числится, даже как проходящий тесты...

http://www.commoncriteria.org/ccc/epl/productType/eplinfo.j sp?id=99
 

PTO - kruchkovkgb.ru
11 Jun 2002 2:48 PM
2 RSM: а почему? старый оракл да старый солярис мало чем лучше старого винНТ и нового СКЛ сервера... и в связке они весьма безопасны и производительны :)
 

PTO - kruchkovkgb.ru
11 Jun 2002 3:03 PM
2 RSM: полез тут читать про ЕАЛ4 для оракла и сразу наткнулся на весьма забавный документик http://www.commoncriteria.org/certRpt/oracle817_CR.pdf - собственно отчет о сертификации... дык он сертифицирует оракл 8.1.7 на 8й солярке и на НТ4СП3 :)
 

RSM
11 Jun 2002 4:56 PM
2РТО:

угумс - я и не оспариваю =), но обновременно имеют EAL4 в данном случае только Solaris 8 и Oracle 8... вот и получаем полную EAL4 систему... =)
 

PTO - kruchkovkgb.ru
11 Jun 2002 5:06 PM
2 RSM: что значит одновременно? база данных должна ставиться на ту ОС, под которой была сертифицирована и именно в такой конфигурации... так чта по-барабану под чем ставить Оракл под Соляркой-ли, под НТ-ли... ее можно будет сертифицировать... СКЛ2000 под НТ4 можно будет сертифицировать по С2 (примерно соответствует ЕАЛ4 по требованиям)...
 

RSM
11 Jun 2002 6:05 PM
PTO:

дело в том, что тестировали оракл, а не NT... так вот Oracle действительно имеет сертификат EAL4, а вот NT - нет... То есть все процессы за которые отвечает Oracle - гуд, а вот за то что отвечает NT - может и не быть EAL4... ну да впрочем это не ради флейма все было =) bye...
 

PTO - kruchkovkgb.ru
11 Jun 2002 6:33 PM
2 RSM: тестируется _КОМПЛЕКС_... иначе бы не писали - для НТ и Солярки, писали бы просто Оракл... на самом деле даже когда НТ получал сертификат С2 там четко указывалась модель железки на которой данный сертификат был получен :)
 

AT - 220220pager.icq.com
12 Jun 2002 1:30 AM
RSM: Они пытаются сертифицировать - у них уже пару лет ушло на это дело.. Была ушлашанна от одного из менеджеров отмазка - не успели так как фич очень много ....

От них же правительство это требует
 

BOBA
12 Jun 2002 4:05 AM
LINUX всеравно никто использовать небудет.
 

glassy
13 Jun 2002 1:56 AM
товарисчь имбецилло? :)
 

Vinni-Pux - vinni_pux_uayahoo.com
16 Jun 2002 12:23 AM
Лошпены и не будут использовать ....
 

 

← май 2002 4  5  6  7  10  11  12  13  14 июль 2002 →
Реклама!
 

 

Место для Вашей рекламы!