Поделиться
Microsoft продвигает безопасность своих веб-сервисов
В выпущенном на этой неделе обзоре по системам безопасности специалисты утверждают, что новое ПО Microsoft для реализации веб-сервисов позволит облегчить разработчикам процесс создания приложений для защиты информации и исключить всевозможные несанкционированные команды, обычно используемые злоумышленниками для проникновения в систему. Выпуск обзора по защите информации, нацеленного на продвижение маркетинговых и технологических инициатив софтверного гиганта, был расценен специалистами как очередная попытка корпорации "заглушить" недобрую славу системы защиты своих программных продуктов и распространенное мнение о том, что Microsoft жертвует безопасностью ради облегчения разработки своих операционных систем.Отношение Microsoft к проблеме защиты программных продуктов не раз подвергалась резкой критике со стороны экспертов по вопросам информационной безопасности, утверждающих, что постоянно возникающие "лазейки" иллюстрируют или невозможность правильно организовать защиту программ, или просто небрежность при их разработке. По мнению специалистов, программные продукты корпорации допускают слишком "вольное" исполнение кода в среде Windows, что открывает двери для вирусов, крадущих информацию, удаляющих файлы или же оставляющих "дыры" в системе для последующего несанкционированного проникновения.
Кроме того, многие пользователи высказывают опасения по поводу возможной уязвимости веб-сервисов, составляющих новой стратегии .Net "ПО как услуга", большинство частей которой будут завершены к следующему году. К концу 2002 года к базовой услуге .Net My Services добавится ряд новых возможностей, в том числе совершение онлайновых покупок, банковских и биржевых операций, а также всевозможные развлекательные сервисы. По мнению критиков, хранение всей частной информации пользователей в одной системе привлечет хакеров и создаст угрозу ее взлома. Страхи пользователей усилил и признанный корпорацией в начале ноября факт взлома системы аутентификации Microsoft Passport, части Windows XP и ключевого момента .Net.
В официальном документе, выпущенном 26 ноября компаниями Foundstone (которая подвергала анализу продукты Microsoft в течение года) и CORE Security Technologies, специалисты не разделяют опасений критиков; напротив, ониприходят к выводу, что оболочка Microsoft .NET (.NET Framework) снижает вероятность возникновения большей части основных рисков, связанных с безопасностью.
Платформа .NET Framework от Microsoft будет использоваться разработчиками для создания приложений для веб-сервисов. Конкурирующие онлайновые услуги разрабатывают компании Sun Microsystems и Oracle.
Предыдущие приложения, разработанные Microsoft, не раз оказывались уязвимыми по отношению к очередным "популярным" вирусам и проникновениям злоумышленников. В том числе, если вспомнить наделавшего немало шума интернет-червя "Code Red", использовалось слабое место в коде, используемом IIS-серверами Microsoft для поддержки индексации - функции, которая ускоряет поиск по веб-серверам. Модуль, известный как фильтр сервисной индексации ISAPI, некорректно проверял переполнение буфера. В результате, по крайней мере 50% или 3 млн. IIS серверов, в которых этот компонент поставлен по умолчанию, стали уязвимыми.
Когда к концу этого года будет запущена платформа .NET, ее программное обеспечение будет автоматически проверять код и определять, стоит ли допускать выполнение операции, которую он несет, заявил Майк Касс (Mike Kass), менеджер продукта Microsoft .NET Framework. Пользователям остается лишь надеяться, что новое ПО, в свою очередь, не будет вызывать новых сбоев в работе и защите систем.
Короткая ссылка
