ГлавнаяНаукаВсе новости раздела
 

Microsoft требует держать дыры в секрете

Корреспондент.net, 13 ноября 2001, 22:17
0
5

Компания Microsoft снова выступила с предложением ограничить распространение информации об обнаруживаемых дырах в программном обеспечении. Предлагается воздерживаться от распространения информации о дыре в течение 30 дней с момента обнаружения. За это время должна быть изготовлена и проверена заплатка.

Новое предложение прозвучало на конференции Trusted Computing Forum 2001, который проходил в Калифорнии под патронажем Microsoft, сообщает Нетоскоп

Корпорация называла "информационной анархией" бесконтрольное распространение данных, которые могут быть использованы для нанесения ущерба. Когда "умельцы-энтузиасты" находят способ разломать тот или иной продукт, они тут же спешат громко оповестить общественность о найденной дыре. Для демонстрации своего "мастерства" они выкладывают подробные инструкции или программы для взлома или нештатного использования продукта. Безопасность пользователей при этом волнует их меньше всего, считает Microsoft.

Средства массовой информации также способствуют данному процессу. Все это приводит к тому, что дырой успевают попользоваться все, кому не лень, прежде чем компания успеет выпустить заплатку.

Предложения Microsoft состоят в том, чтобы продавцы ПО воздерживались от распространения информации о баге в течение 30 дней с момента его обнаружения. За это время должна быть изготовлена и проверена заплатка. Microsoft призвала всех разработчиков присоединиться к данной инициативе.

Инициатива действительно нашла понимание среди ряда фирм компьютерной безопасности, таких как @Stake, BindView, ISS, Foundstone и Guardent.

Однако некоторые компании и организации осудили любое сдерживание информации о дырах. Специалисты по безопасности отмечают, что Microsoft сама не слишком расторопна в исправлении дефектов. А если пользователи вовремя не оповещены об опасности, они становятся более уязвимыми для хакеров. Особенно это актуально, если угроза вполне реальна - как это бывает, когда червь или вирус уже начал распространяться среди пользователей.

Противники подхода Microsoft полагают, что в таких случаях полное раскрытие информации о дырах несет гораздо больше пользы, чем вреда.

Как сообщал Корреспондент.net, во избежание нагнетания паранойи среди пользователей корпорация Microsoft решила ввести систему классификации для своих "Бюллетеней безопасности". Отныне каждой обнаруженной в ПО корпорации дыре будет присваиваться одна из следующих степеней: "критическая", "средней критичности" и "низкой критичности".

Как заявлено в соответствующем сообщении Microsoft, далеко не все дыры имеют одинаково сильный эффект для пользователей. Так, к примеру, из найденных в конце 2000 года пятнадцати дыр лишь пять могли иметь действительно серьезные последствия для большинства пользователей корпорации

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции.
powered by lun.ua

ЧИТАЙТЕ ТАКЖЕ

Корреспондент.net в cоцсетях