Большинство аналитиков согласны, хотя и говорят, что убедиться в этом можно будет только при эксплуатации данной технологии. Silverlight, разрабатываемая Microsoft интернет-мультимедиа технология, которая, наверное, будет выпущена через несколько месяцев, но не смотря на то, что программа еще не вышла, эксперты уже пришли к общему мнению, хотя и не особо крепкому, насчёт того, насколько безопасна будет она. Эксперты подтверждают заявление Microsoft о том, что программа не будет легко используемой для хакеров. Microsoft заявила, что Silverlight, который является плагином работающим с браузерами Internet Explorer, Firefox и Safari, имеет ключевые особенности, которые должны предотвратить возможность атаки на него.
Хакеры переходят от атак на операционные системы к атакам интернет-приложений.
Кроме того, учитывая давнюю тенденцию хакеров направлять основные усилия на
продукты компании Microsoft, то данная технология будет проверяться очень
жестко.
"Хотя еще очень рано о чём-то говорить, но все доказательства мы получим во
время эксплуатации" - заявил Бола Ротиби, аналитик
Ovum Ltd.
Главное - удачно выбрать время
Silverlight, который должен выйти этим летом, появляется как раз тогда, когда
интернет-разработчиков критикуют за небезопасность создаваемых ими сайтов.
Наибольшей критике подвергается Asynchronous JavaScript and XML (AJAX),
популярная технология, позволяющая использовать мультимедиа рекламу, из-за её
уязвимости к атакам кросс сайтового скриптинга (XSS).
Но и другие технологии для интернет-приложений, типа QuickTime от Apple,
Microsoft Windows Media Player и Adobe Flash, которые Microsoft надеется
вытеснить с помощью Silverlight, также оказались уязвимыми.
Безопасность песочницы
Microsoft заявляет, что Silverlight использует преимущества браузерных
веб-технологий, также как и программную структуру .NET, чтобы сделать
Silverlight настолько безопасным, насколько это вообще возможно. "Мы ограничили
его функциональность" - заявил
Брайан Гольдфарб, главный менеджер по продукции в команде по
интернет-платформам и инструментальным средствам.
Например, Silverlight исполняется в виртуальной "песочнице" браузера. Как сказал
Гольдфарб, это значит, что даже если вредоносное ПО, или хакер, смогут таки
взломать Silverlight, то он не сможет получить доступ к другим приложениям, или
серверу, так как песочница полностью безопасна.
"Игра в песочнице в браузере - обычная и хорошо известная идея, и при условии,
что в браузере нет каких-либо уязвимостей, тогда эта технология относительно
безопасна" - подтвердил Ротиби.
Кроме того, Silverlight является расширением технологии .Net, которую Гольдфарб
назвал "имеющей достоверный послужной список в плане безопасности".
Данный факт, должно быть, является причиной того, что .Net использует технологию
известную как управляемый код, что означает, что программы запускаются в рамках
виртуальной машины, и никогда напрямую не взаимодействуют с "голым железом"
компьютера, а это нивелирует обычные стратегии хакеров, типа вызова переполнения
буфера, заявил Гольдфарб.
И так как Silverlight является расширением .Net, то он должен избежать обычных
ошибок присущих первому поколению технологии.
"Это новый продукт, и в то же время это не новый продукт" - заявил Гольдфарб.
И наконец, хотя Silverlight взаимодействует с JavaScript, который является
компонентом AJAX, который известен своей уязвимостью к XSS-атакам, сам
Silverlight не должен быть уязвим для XSS-атак, заявил Гольдфарб.
А слабость в том...
Джеффри Хаммонд, аналитик в Forrester Research, в значительной степени не
доверяет заявлениям Microsoft. Слабость в том, что разработчики создают
приложения, работающие на Silverlight, говорит Хаммонд, и даже если Microsoft,
по словам Гольдфарба, "приложила множество усилий", чтобы научить разработчиков
как избежать создания небезопасного кода, это всё равно будет происходить.
"Разработчики ненамеренно создают дефекты или уязвимости в коде, но это
случается даже с лучшими из нас. В любом случае, я думаю, нас ожидает короткий
период встряски" - заявил Хаммонд.
Крис Свенсон, аналитик
NPD
Group, утверждает, что уязвимости в Silverlight и Flash хотя бы будут
исправлены намного быстрее, чем уязвимости в AJAX, который испытывает недостаток
в поддержке одной крупной компании.
"Microsoft и Adobe будут быстро закрывать дыры, по сравнению с AJAX, Silverlight
будет на чаше весов безопасности" - заявил Свенсон.
Когда в прошлом году в Flash были найдены уязвимости, то Microsoft выпустила для
них заплатки примерно в то же время, что и Adobe.
С другой стороны,
Джеремая Гроссман, главный технический директор в White Hat Security, больше
верит в изобретательность black hat хакеров, чем в таковую у Microsoft.
"Все эти меры безопасности хороши и прекрасны, но, к сожалению, они вряд ли
способны защитить пользователей от новых методов атак".
Сообщает TheVista
|
Программирование для чайников.
|
