Rambler's Top100 Service

РАЗДЕЛЫ ПОРТАЛА
  Главная страница
Бесплатная документация
Форумы
ГОРЯЧАЯ НОВОСТЬ
 

11 Aug (00:01)
Windows Memory Diagnostic
Бесплатная утилита тестирования памяти

Архив...
ЛАБОРАТОРИЯ
  Место где решаются Ваши проблемы

Сейчас в Лаборатории
Компаний: 1444
Экспертов: 615

Вход
для пользователей
для экспертов

Как работает Лаборатория?
НОВОСТИ КОМПАНИЙ
 

26 May (18:12)
Семинар "Создание эффективных веб-сайтов"


29 Apr (00:08)
Интернет-сайт компании: удобное средство для заработка денег или дополнительные накладные расходы?

15 Apr (00:26)
Три источника, три составные части Intel Centrino

27 Mar (00:10)
Опечатка в публикации ITUnion

24 Mar (00:07)
Новинки промышленной компьютерной техники весны 2003 года

Архив...
СТАТЬИ И ОБЗОРЫ
 

Как работает и что дает теневое копирование
Служба VSS систем Windows Server 2003

Хакерский детектив

Языки PCL и PostScript

Конференция WinHEC 2003

Longhorn и Blackcomb

Архив...
Назад НаверхВниз
Советуют профессионалы! Совет: Став зарегистрированным пользователем, вы сможете вызвать специалиста в свой офис для выполнения работ на месте.

NEWS.ITUNION.RU НазадНаверхВниз

Безопасность - главная цель Microsoft


Много шума в компьютерной прессе сделало вроде бы рядовое послание Билла Гейтса сотрудникам Microsoft. В распространенной по корпоративной среде компании сообщении э-почты главный архитектор Microsoft призвал всех сотрудников (кстати, немногие знают, что в штате Microsoft всего лишь 40 тыс. официальных сотрудников, естественно, не считая временных и сотрудников других компаний, работающих по контракту с Microsoft) способствовать усилению защиты в программных продуктах и в частности в браузере Internet Explorer и службе Passport. Причин для беспокойства более чем достаточно. Заметим, что заплаток уже накопилось на полный пакет обновления. Особенное беспокойство вызвано уязвимостью браузера Internet Explorer. Заплатка для устранения прорехи была опубликована еще в ноябре прошлого года, но только теперь, в середине января этого года, Microsoft объяснила широкой общественности опасность использования сценариев на основе файлов cookie. Оказалось, что существовала дыра в системе безопасности, позволявшая злоумышленнику получить полный контроль над системой. По крайней мере, именно так выразился Эрин Каллен (Erin Cullen), менеджер по продуктам .Net Services из Microsoft. "Мы должны быть еще более проактивными (proactive, простите, но русского эквивалента пока не существует, Microsoft совсем недавно стала широко использовать этот термин) в отношении вопросов безопасности". На практике эта "проактивность" будет выражаться в публикации еще большего количества заплаток и обновлений. Не знаю, может кому-то и нравится сам процесс постоянного латания дыр в системе, но лучше бы сразу получать надежный продукт, который не требует ежемесячных, а то и еженедельных, подновлений. По данным независимых источников, программные компании еще перед выпуском продукта знают о 80% из обнаруженных потом ошибок и уязвимостей. Однако выгодная в коммерческом плане гонка с постоянным переходом на новые версии систем отрицательно сказывается на качестве программных продуктов. Не говоря уже о сравнительной стоимости программных продуктов Microsoft.

В сообщении Билла Гейтса использовался термин "trustworthy computing" (заслуживающие доверия вычисления), который определяет наиболее приоритетное направление развития компании. Более того, вполне отчетливо проявилась такая позиция: "когда предстоит выбрать между добавлением новых возможностей и устранением уязвимостей в системе защиты, следует выбрать безопасность, иначе пользователи просто не смогут применять новые возможности" - золотые слова. Кстати, сообщение было помечено "для служебного пользования", но его текст стал известен благодаря усилиям агентства Associated Press.

Мы не считаем, что можно полностью, со 100% надежностью, протестировать примерно 30 млн. строк кода операционной системы Windows XP, однако и выпускать опасные для пользователей продукты тоже не следует.

Затронув заплатки для браузера IE, нельзя пройти мимо ее проявления в программном проигрывателе Windows Media Player. Тривиальный код JavaScript может полностью разрушить "защищенную" платформу P3P (Platform for Privacy Preferences, платформа для личных предпочтений), ставшую частью Internet Explorer 6 и проигрывателя Windows Media Player (WMP).

Согласно публикации Ричарда М. Смита (Richard M. Smith) в рассылке BugTraq, проигрыватель WMP по умолчанию генерирует число, которое легко может "прихватить" любой Web-сайт. Это число служит супер-cookie, по выражению Смита, поскольку позволяет обойти ограничения на прием файлов cookie в браузере. Даже если удалить все cookie и установить для них самые жесткие правила, все равно сохраняется доступ к номерам WMP, поскольку они храниться в реестре Windows. Для доступа к супер-cookie пригоден обычный запрос идентификатора клиента ClientID, после чего теряется анонимность подключения браузера к Web-сайту. Все это относится не только к IE6, но и к старым версиям Netscape.

Для возвращения номера WMP на Web-сайт можно вставить этот номер в URL-адрес запроса или сохранить номер в виде обычного файла cookie на клиентском компьютере. Таким образом, уникальная идентификация WMP устраняет анонимность компьютера при доступе к сайтам Интернета.

Пока доступно только обновление для старых версий WMP, причем дополнительно нужно отменить все "прекрасные" возможности этого проигрывателя. Заметим, что после этого уникальные номера WMP будут генерироваться для каждого сеанса IE, поэтому отслеживание пользователей станет невозможным. Заметим, что в Windows Media Player 6.4 и 7.1 можно просто сбросить флажок Allow Internet Sites to uniquely identify your player (Разрешить сайтам Интернета уникально идентифицировать проигрыватель).

Полная лента новостей NEWS.ITUNION.RU

Вы можете подписаться на ежедневную
бесплатную рассылку IT-новостей:




  Site DESIGN by MIRRON (C) 2000-2001 Rambler's TOP100