Хотел сделать подборочку ссылочек, но потом подумал, что это очевидно, - стандартный аргумент в пользу перехода на более новые версии ПО: они более безопасны. Про Windows Vista даже писали, что код ее написан заново и по этой причине все старые проблемы к ней не относятся. А что мы имеем по факту? Практически все обнаруживаемые новые уязвимости относятся ко всем версиям того или иного продукта Microsoft, т.е:
- не стоит верить, что код нового продукта написан с нуля, даже в случае, когда об этом явно указывается;
- если даже это так, то это только ухудшает ситуацию, поскольку сложный код, который, как мы видим на практике, достигал зрелости годами, нельзя написать сразу без ошибок;
- не стоит верить в то, что новая версия безопаснее, поскольку практически все новые уязвимости характерны для всех версий ПО и не важно что у вас Windows 2000, XP, Vista или 7.
2 comments:
И согласен и не согласен :)
Во-первых, новые версии систем рекламируют не под флагами "новая версия безопаснее", а скорее под флагами "удобнее, быстрее, красивее, да еще и безопаснее". И ситуация с правдивостью всех этих утверждений примерно одинакова.
Во-вторых, новые системы часто действительно безопаснее. С твоим же примером насчет Windows зачастую, несмотря на то, что новая уязвимость может относиться ко многим версиям системы, но уровень критичности часто меньше для более новых систем (см. как пример MS08-067 - Critical для Windows XP, но Important для Vista).
Вопрос скорее не в том, что вендор утверждает, а в том что он реально делает. У меня сложилось впечатление, что Microsoft уже довольно долгое время реально заботится о безопасности, как пример можно сравнить 2000 Server и 2003 Server.
Крупные изменения не случаются сразу, а уязвимости есть во всех системах. К тому же не верить слепо рекламе это просто здравый смысл :)
Амиран, большое спасибо за комментрий, я честно не хотел упоминать про MS08-067, но видимо мои локальные войны с Confiker/Downadup-ом выдали, что я имел в виду именно этот бюллетень. Вот, кстати, неплохой пост по этой тематике:
http://msinfluentials.com/blogs/jesper/archive/2008/11/04/is-ms08-067-wormable.aspx
Согласен, что MS пытается что-то сделать с безопасностью... Я с улыбкой вспомнил нашу с тобой встечу с Федором Зубановым, когда он пришел к нам рассказывать о том, насколько Vista безопаснее чем XP. Твой первый вопрос был: "Вы отключили MS RPC в дефолтной конфигурации?", ответ был, что нет, поскольку это - фундаментальный сервис MS. Так вот, они его и не отключили и не завесили на лупбэк...
Мне очень интересна причина такой дырявости: они не хотят что-то изменить или не могут. Попробую пофантазировать на тему "не могут" - полагаю дело в обратной совместимосит. Но мы же все когда-то писали программы, неужели сложно сделать что-то вроде режимов совместимости, а по умолчанию - новая безопасная ОС.
"Не хотят", вероятно связано с частичной потерей функциональности, а вот здесь уже маркетинг. Т.е. получаем достаточно неэтичный вывод (но кто в мире бизнеса думает об этике!) о том, что большая функциональность снижает безопасность, но увеличивает стоимость, а зарабатывание денег важнее для коммерческой компании, чем какая-то безопасность.
А правда, скорее всего, как обычно, где-то посередине. Оценка рисков, однако :-)
Post a Comment