BugTraq.Ru
Русский BugTraq
http://www.bugtraq.ru/rsn/archive/2003/10/06.html

Microsoft предъявлен иск по поводу небезопасности ее софта
dl // 03.10.03 04:20

В иске утверждается, что программное обеспечение, выпускаемое корпорацией, уязвимо к вирусам, способным вызвать масштабные касадные сбои в глобальных компьютерных сетях, что выпускаемые бюллетени с предупреждениями слишком сложны для понимания рядовым обывателем и скорее служат подсказкой хакерам.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2003/10/06.html]

Кроме того, в иске упоминается некорректная конкуренция и наружения двух калифорнийских законов, защищающих права потребителей, один из которых был принят в этом году и направлен на защиту личной информации, хранящейся в компьютерных базах данных.

Источник: Reuters      
теги: microsoft  |  предложить новость  |  обсудить  |  все отзывы (9) [2965]
назад «  » вперед

аналогичные материалы
Анализ SolarWinds-атаки от Microsoft // 21.01.21 20:50
Apple, Google, Microsoft и Mozilla забанили казахстанский сертификат // 19.12.20 03:13
Утекший код XP и Windows Server удалось собрать // 01.10.20 01:40
Дела виртуальные // 30.09.20 22:36
Microsoft предупредила о двух незакрытых уязвимостях // 24.03.20 00:44
Большой вторник патчей от MS // 10.09.19 22:30
Microsoft призналась в сознательном отключении бэкапов реестра // 01.07.19 14:05
 
последние новости
The Great Suspender предположительно превратился во вредоноса // 05.02.21 00:47
Десятилетняя уязвимость в sudo // 27.01.21 12:25
Блокировка Flash поломала китайскую железную дорогу // 24.01.21 22:17
Анализ SolarWinds-атаки от Microsoft // 21.01.21 20:50
С наступающим // 31.12.20 23:59
Apple, Google, Microsoft и Mozilla забанили казахстанский сертификат // 19.12.20 03:13
Cloudflare, Apple и Fastly предложили новый DNS-протокол // 09.12.20 05:10

Комментарии:

Давно бы так! 03.10.03 11:55  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
Их есть, за что наказывать, но в данном случае это применимо к любой широко распространенной ОС 03.10.03 13:31  
Автор: ross Статус: Незарегистрированный пользователь
<"чистая" ссылка>
особенно - "что выпускаемые бюллетени с предупреждениями слишком сложны для понимания рядовым обывателем и скорее служат подсказкой хакерам."
интересно, где этого нет?
Суть не в "небезопасности", а в недобросовестной рекламе 05.10.03 07:02  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Иск составлен не верно, вот в чем беда. Проблема-то в том, что систему с интегрированным ГУИ недопустимо позиционировать, как "безопасную серверную платформу".
Это почему? GUI-то причём? 06.10.03 14:26  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
Это почему? GUI-то причём? 07.10.03 03:50  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
А при том, что он является самым сложным компонентом системы и, как следствие содержит наибольшее количество ошибок и при этом ни каких, собственно "серверных" ф-ций не выполняет и требуется только изредка, в процессе конфигурирования и мониторинга. И то, сервак вообще не должен конфигуриться с консоли (кроме первоначальной инсталляции). Он должен управляться телнетом с админской машины, вот на ней и должны стоять все графические "прибамбасы" для удобства конфиг. и мониторинга (как это сделано, например, у Новелла), а сервак этим загружать нефиг.

Какие задачи выполняет сервак? Хранение, передача и обработка информации! Причем, не важно, какой. Вся кодировка - декодировка, ввод и представление этой инфы - задача клиента, а не сервера.
Нельзя сложностью подсистемы аргументировать её незащищённость. 07.10.03 07:38  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
> А при том, что он является самым сложным компонентом
> системы и, как следствие содержит наибольшее количество
> ошибок и при этом ни каких, собственно "серверных" ф-ций не
> выполняет и требуется только изредка, в процессе
> конфигурирования и мониторинга.
Subj + не так много дырок нашли, которые юзают GUI. Последняя — с использованием WM_TIMER ;-) А вспомните, сколько их было в Апаче или в IIS, я их привёл как пример сложных подсистем.
А вообще, из всех программ в NT'ях мне больше всего нравится ntloader :)

> И то, сервак вообще не
> должен конфигуриться с консоли (кроме первоначальной
> инсталляции). Он должен управляться телнетом с админской
> машины, вот на ней и должны стоять все графические
> "прибамбасы" для удобства конфиг. и мониторинга (как это
> сделано, например, у Новелла), а сервак этим загружать
> нефиг.
Ну, если мы решили поидеализировать, то на conin и conout свет тоже не сошёлся. И новелл пошёл по неверной дорожке, поскольку для конфигурирования-администрирования нужен протокол взаимодействия с объектами, типа CORBA, а не консольный ввод-вывод ;-)
Короче, неправы и те, которые вешают всё на GUI, и те, которые на консоль ;-) Да и старое доброе понятие консоли с её устаревшим интерфейсом коммандной строки уже слишком старое, чтобы быть панацеей.

> Какие задачи выполняет сервак? Хранение, передача и
> обработка информации! Причем, не важно, какой. Вся
> кодировка - декодировка, ввод и представление этой инфы -
> задача клиента, а не сервера.
Согласен. Но с безопасностью здесь мало связи.
А сложностью + ненужностью - можно 07.10.03 09:23  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
> > А при том, что он является самым сложным компонентом
> > системы и, как следствие содержит наибольшее
> >количество
> > ошибок и при этом ни каких, собственно "серверных"
>> ф-ций не
> > выполняет и требуется только изредка, в процессе
> > конфигурирования и мониторинга.
> Subj + не так много дырок нашли, которые юзают GUI.
> Последняя — с использованием WM_TIMER ;-) А вспомните,
> сколько их было в Апаче или в IIS, я их привёл как пример
> сложных подсистем.

Если ГУИ и не содержит ошибок, то необходимостью написания больших объемов кода для работы в графической среде провоцирует их появление в других прогах.

> > И то, сервак вообще не
> > должен конфигуриться с консоли (кроме первоначальной
> > инсталляции). Он должен управляться телнетом с
> >админской
> > машины, вот на ней и должны стоять все графические
> > "прибамбасы" для удобства конфиг. и мониторинга (как
> >это
> > сделано, например, у Новелла), а сервак этим загружать
> > нефиг.
> Ну, если мы решили поидеализировать, то на conin и conout
> свет тоже не сошёлся. И новелл пошёл по неверной дорожке,
> поскольку для конфигурирования-администрирования нужен
> протокол взаимодействия с объектами, типа CORBA, а не
> консольный ввод-вывод ;-)
> Короче, неправы и те, которые вешают всё на GUI, и те,
> которые на консоль ;-) Да и старое доброе понятие консоли с
> её устаревшим интерфейсом коммандной строки уже слишком
> старое, чтобы быть панацеей.

Командная строка хороша тем, что позволяет работать откуда угодно, "без ничего" и исключтиь влияние ошибок в клиентской части и взаимодействии с протоколом.

> > Какие задачи выполняет сервак? Хранение, передача и
> > обработка информации! Причем, не важно, какой. Вся
> > кодировка - декодировка, ввод и представление этой
> инфы -
> > задача клиента, а не сервера.
> Согласен. Но с безопасностью здесь мало связи.

Чем больше кода, тем больше вероятность ошибки - раз.
Чем больше лишних сервисов, тем меньше ресурсов для выполнения задач безопасности. - Два.
Чем больше избыточных сервисов, тем больше мишеней для атаки. - Три.
«Сложность» и «развитость» разные вещи… 07.10.03 10:32  
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 07.10.03 10:59  Количество правок: 1
<"чистая" ссылка>
> Если ГУИ и не содержит ошибок, то необходимостью написания
> больших объемов кода для работы в графической среде
> провоцирует их появление в других прогах.
А, флейм мы тут с тобой разводим ;-) Сколько раз был в прогах неконтролируемый буфер под параметры командной строки или в CGI-прогах, там похожий механизм взаимодействия. Криворукость программистов не лечится интерфейсными механизмами, будь они простые или сложные.

> Командная строка хороша тем, что позволяет работать откуда
> угодно, "без ничего"
Ну да. Telnet-клиента я везде найду, а вот через Сеть мне им работать страшно — чистый ASCII по TCP, что радует любого снифующего чела ;-) Итак, задача усложняется — подавай ssh или работай через VPN... Из интернет-кафе ;-) А вот M$ взяло и встроило шифрование в RDP по умолчанию. И мало ли, что этот протокол взаимодействия с удалённым рабочим столом никто, кроме M$, не поддерживает. Кому-то же надо начинать ;-)

> и исключтиь влияние ошибок в
> клиентской части и взаимодействии с протоколом.
Ну я выше писал про криворукость.

> Чем больше кода, тем больше вероятность ошибки - раз.
> Чем больше лишних сервисов, тем меньше ресурсов для
> выполнения задач безопасности. - Два.
> Чем больше избыточных сервисов, тем больше мишеней для
> атаки. - Три.
Да не спорю я. Вот амёбы мало болеют. И размножаются быстро и просто — делением ;-) Ну и что людям делать с их СПИДом, раком и проч — назад, к амёбам?
Или после того, как нашли дыру в системном вызове OS linux, линуксоиды начинают вопить про то, что давайте, мол, снесём ту или иную подсистему ядра, в которой нашли дыру? Выпустят патч, кто-то из гуру может даже в исходники глянет и получит моральное удовлетворение — вот он родимый, здесь баг скрывался.
В M$ всё не так, конечно же. С патчем могут тянуть долго. Бабла просят. Исходников нет. Но вот зато GUI, который больше хорош, чем плох, ставят на все свои OS по умолчанию. Однако, в *NIX'ах тоже консоль «по умолчанию». Но сколько лет никсам-то! Тогда это был писк технологии, посколько до этого компьютеры работали вообще в старт-стоповом режиме. Заставить компьютер крутить цикл с ожиданием пользовательского ввода было революцией, сравнимой с изобретением колеса ;-)

Дык может, это всё-таки просто прогресс? Subj.
«Развитость» серваку не нужна, ему нужна эффективность. И правда - флейм. 07.10.03 12:19  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
<добавить комментарий>



  Copyright © 2001-2021 Dmitry Leonov Design: Vadim Derkach