MSPStandard.pl - IT dla małych i średnich firm - link do strony głównej
wyszukiwanie:
Podziel się opinią o serwisie

reklama

Stworzony dla firm produkcyjnych

Strefa EpicorPraca z systemem ERP nigdy nie była tak prosta i intuicyjna. Zobacz demo i sprawdź dlaczego firmy produkcyjne wolą system Epicor.
Zapraszamy do strefy »

popularne komentowane nowości

popularne

Najczęściej czytane

więcej...

Biblioteka Wiedzy poleca

Office 365 - podręcznik użytkownika

Ta książka pokaże Ci, jak wykorzystać chmurowe przetwarzanie danych - a konkretnie Office 365 - aby robić więcej, współpracować łatwiej i działać...
pobierz »

Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe

Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »

Dlaczego warto korzystać z Office 365?

Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »

Więcej bezpłatnych raportów w serwisie

powiększ tekst >
AKTUALNOŚCI

Microsoft: kod doskonały nie istnieje

20 listopada 2006

Daniel Cieślak
(Strona 2 z 2)
PC World

Firma Secunia poinformowała niedawno o wykryciu luki w zabezpieczeniach przeglądarki Internet Explorer 7. Microsoft oficjalnie odpowiedział, że nie jest to błąd - przedstawiciel pańskiej firmy oświadczył, że w tej konkretnej sytuacji aplikacja działała zgodnie z założeniami twórców - aczkolwiek przyznał też, że owa funkcja może zostać wykorzystana do przeprowadzenia ataku. Jakie jest pańskie stanowisko w tej sprawie?

Myślę, że wiele osób myli dwa pojęcia - luki w zabezpieczeniach programu oraz metody przeprowadzenia ataku. Nic dziwnego - bo rzeczywiście niekiedy te pojęcia mogą być tożsame. Jak nazwać oprogramowanie stworzone ściśle wedle pewnej specyfikacji, gdy okaże się, że owa specyfikacja zawierała błędy umożliwiające przeprowadzenie ataku? Jak mówiłem, problem jest złożony - oni mają własne zdanie, my mamy własne. Oczywiście szanuję ekspertów z Secunia - to, że mamy odmienną opinię na temat tego konkretnego problemu nie znaczy, że nie zamierzamy nic robić w tej sprawie. Już wcześniej zdarzało nam się zmieniać niektóre funkcje, gdy okazało się, że w nowych okolicznościach mogą one posłużyć do przeprowadzenia ataku. Zawsze musimy być gotowi na takie sytuacje.

Wybrane zabezpieczenia, wprowadzone przez Microsoft do systemu Windows Vista:
User Account Control (UAC) - nowy system zarządzania uprawnieniami i kontami użytkowników.

Internet Explorer 7 - nowa, lepiej zabezpieczona wersja przeglądarki Internet Explorer.

Windows Defender - wbudowany do systemu program antyspyware'owy.

Network Access Protection - system ochrony komputera w sieci lokalnej.

Windows Service Hardening - zabezpieczenie blokujące niektóre usługi systemowe w celu powstrzymania działania robaków/wirusów.

BitLocker Drive Encryption - system szyfrowania danych na dyskach.

PatchGuard - technologia, której zadaniem jest blokowanie niepowołanym aplikacjom dostępu do jądra systemu.


Jak opisałby Pan stosunki pomiędzy Microsoftem a firmami i osobami zajmującymi się wykrywaniem i ujawnianiem błędów w oprogramowaniu?

To zależy - bo środowisko specjalistów do spraw bezpieczeństwa jest niewiarygodnie zróżnicowane. Oni wszyscy mają różne punkty widzenia i wyznają różne filozofie. Wiadomo, że z jednymi współpracuje nam się łatwiej, z innymi trudniej. Ale na pewno mogę powiedzieć, że nasze relacje są lepsze niż w przeszłości. Grupa ekspertów współpracujących z nami jest zdecydowanie większa niż kiedyś - choć są również osoby, które po wykryciu problemu bez informowania nas o tym publikują szczegółowe informacje o błędzie. Gdy mam okazję z nimi porozmawiać, pytam zawsze - "Czemu to robicie?". Zwykle słyszę wtedy "By chronić użytkowników" - tylko, że z mojej perspektywy to oni właśnie w ten sposób dają przestępcom do rąk narzędzia do przeprowadzania ataków na owych użytkowników. Ale - podsumowując - najważniejsze jest to, że rozmawiamy. Możemy się przecież od czasu do czasu nie zgadzać w dyskusji...
« wstecz1 2
Wystaw ocenę:
    Średnia ocena (liczba głosów: 10)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego

Komentarze

Avalon

  • ocena: brak oceny
  • IP: 85.219.198.222
  • 20-11-2006, 13:25

Ja bede mial vista home premium (orginal) na notebooka , niemoge się już doczekać kiedy strona z zamowieniami ruszy <tylko jedno jest nie tak ,bo przesowaja co chwila date startu witryny>

max

  • ocena: brak oceny
  • IP: 83.144.110.188
  • 20-11-2006, 13:27

"Jak nazwac oprogramowanie stworzone scisle wedle pewnej specyfikacji, gdy okaze sie, ze owa specyfikacja zawierala bledy umozliwiajace przeprowadzenie ataku?"
Jak nazwac? Szmelcem nazwac, drogi panie. Co za roznica, kto nawalil - analitycy czy programisci - efekt jest ten sam. Oprogramowanie nadaje sie do kosza.