Метод Берста

Стремясь всеми правдами и неправдами выиграть войну за господство в Web, Microsoft пошла на ужасный риск. Она рискует вашей безопасностью.

Постепенно пользователи осознают, что технология ActiveX корпорации Microsoft  -  ядро ее Internet-архитектуры  -  делает компьютеры уязвимыми для нападения. Каждая технология имеет свои слабые места, но недостатки ActiveX усугубляются нежеланием Microsoft выполнять свой долг.

Управляющие элементы ActiveX  -  это небольшие программы, которые могут быть загружены через Internet для последующего выполнения в Internet Explorer, браузере корпорации Microsoft. Как и Java-аплеты, элементы ActiveX позволяют разработчикам Web использовать новые мощные функции. Или создавать новые угрозы.

То, что делает технологию ActiveX столь эффективной, одновременно является источником риска. Java-аплеты работают в “песочнице”, за барьером, отделяющим их от остальной части пользовательского ПК. Поскольку поводок у Java-аплета короткий, создаваемая им опасность невелика. Но за все надо платить, и аплет расплачивается уменьшением функциональных возможностей. Элементы ActiveX не ограничены барьером “песочницы”. После того как компонент ActiveX загружен, он может сделать фактически все, до чего додумается программист: например, стереть жесткий диск.

Microsoft считает, что расширенная функциональность ActiveX стоит риска, связанного с безопасностью. “Решение”, предлагаемое корпорацией,  -  это система Authenticode, построенная на принципе информирования пользователя об отправителе конкретного управляющего элемента. “Пользователи должны решить, кому они доверяют”,  -  заявил Корнелиус Виллис, директор по маркетингу корпорации Microsoft. С моей точки зрения, это все равно что просить людей, посылающих бомбу по почте, указать свое имя на коробке. Лично я предпочел бы иметь систему, которая следила бы за тем, чтобы в почтовых отправлениях не было бомб.

Журнал Windows Sources первым обратил внимание на значительность проблемы и беспечное отношение к ней Microsoft. “Несмотря на то что Microsoft поставляет архитектуру и средства, которые делают подобную атаку возможной, корпорация не признает за собой никакой ответственности”,  -  заявил главный редактор журнала Дэвид Берлинд, бывший директор Тестового центра PC Week Labs. Вместо того чтобы помочь пользователям осознать и свести к минимуму возможный риск, Microsoft успокаивает себя тем, что теоретически такие проблемы возможны и для продуктов корпорации Netscape Communications. “Честно говоря, меня тошнит”,  -  сказал Берлинд.

Я могу понять гнев Берлинда. Когда в вашем городе совершается убийство, вы требуете, чтобы мэр сделал улицы безопаснее. Вы не хотите слушать заявления типа: “Ну и что? Такое могло случиться и в Нью-Йорке!”.

Почему же Microsoft не делает того, что нужно пользователям? Да потому, что в битве за лидерство в Web корпорация поставила на технологию ActiveX (и лежащую в ее основе архитектуру COM) все, что имела. Microsoft выигрывает, устанавливая стандарты, и отчаянно нуждается в обладании стандартом на механизм распределенных вычислений через Internet.

“ActiveX  -  это их ключ к будущему,  -  пояснил Берлинд.  -  Microsoft никогда не признает, что у ActiveX есть проблемы с безопасностью”.

Так как же быть в этой ситуации? Фирма Intuit считает, что пользователям следует избегать ActiveX. Такая точка зрения появилась после того, как хакеры с помощью ActiveX предприняли атаку на ее продукт Quicken. Лично я не настроен столь радикально, но все же рекомендовал бы вам не использовать ActiveX на узлах Web, доступных извне, и подождать, пока Microsoft найдет лучшее решение проблемы безопасности.              

Джесс Берст

Джесс Берст  -  главный редактор ZD Net AnchorDesk, бесплатной службы Web-новостей и электронной почты (www.anchordesk.com).

Присылайте ему свои комментарии по адресу: jesse@jesseberst.com.

Версия для печати