Осознав недостатки системы безопасности Internet Explorer, Microsoft собирается внести исправления в Authenticode
Из-за большого количества ошибок, найденных в браузере Internet Explorer, корпорация Microsoft была вынуждена усилить контроль над качеством своих новых браузеров. В то же время рассматривается вопрос об увеличении числа настраиваемых параметров системы безопасности.
Компания собирается модернизировать свою схему безопасности Authenticode так, чтобы сетевые администраторы могли указывать, какие именно элементы управления ActiveX нужно загружать, а не действовать по принципу “все или ничего”.
Хотя ни один пользователь не пострадал от недостатков системы безопасности Internet Explorer 3.0, их наличие заставило корпорацию Microsoft отложить на две недели выпуск версии 4.0, чтобы внести изменения и проверить текст программы. Таким образом, первая открытая бета-версия браузера должна появиться в конце марта.
Для скорейшего получения сообщений о проблемах с безопасностью Microsoft заключила договор с Computer Emergency Response Team, а также выделила специальный адрес электронной почты (security@microsoft.com) и Web-страницу ( http://www.microsoft.com/security ) для сбора сообщений о таких проблемах.
Для менеджеров отделов ИТ работа в Интернет всегда будет связана с угрозой безопасности. Ключ к решению проблемы - обнаружение неполадок и быстрый выпуск исправлений.
“Я полагаю, что и в дальнейшем ошибки будут появляться в продукции как Netscape Communications, так и Microsoft, - считает исполнительный директор по технологии и компаньон фирмы Coopers & Lybrand (Нью-Йорк). - Для меня важно, что я могу в течение часа исправить ошибки на тысячах настольных компьютеров”.
Три ошибки, найденные в марте в IE 3.0, отрицательно сказались на безопасности, поскольку из-за них браузер автоматически запускал файлы посредством ярлыков и других механизмов. Эти ошибки касались только IE, однако другие проблемы могли затронуть более фундаментальную технологию Microsoft - ActiveX, так как Microsoft интегрирует браузер в Windows.
В отличие от Java-аплетов, компоненты ActiveX могут обращаться к системным функциям. Представители Microsoft заявили, что это необходимо для создания полноценной компонентной системы. Во избежание проблем Microsoft рекомендует использовать сертификаты, заверенные Authenticode, которые подтверждают достоверность авторства компонентов.
Тем не менее, учитывая возможные недоработки в системе безопасности, некоторые корпорации решили заблокировать все элементы ActiveX, что не позволяет использовать даже компоненты, созданные внутри компании.
Если Microsoft улучшит Authenticode и соответствующие фильтры браузеров, то корпоративные пользователи смогут пользоваться самостоятельно созданными элементами и блокировать пересылку элементов ActiveX по Internet.
Все эти проблемы обусловлены общей структурой Windows 95, разрешающей доступ к функциям, которые могут быть заблокированы в более защищенной ОС Windows NT Workstation.
Microsoft изучает возможность усиления системы безопасности Windows 95. Однако архитектура этой операционной системы затрудняет внедрение надежной системы безопасности, поэтому Microsoft в прошлом отказалась от подобных идей как от непрактичных.
Норвин Лич, Майкл Мюллер
Улучшить защиту
Microsoft планирует дополнить Authenticode следующими функциями: Настройка уровней доступа для элементов ActiveX
Возможность указания типов элементов, разрешенных к пересылке
Возможность аннулирования цифровых сертификатов разработчиков элементов ActiveX, подозреваемых в дурных намерениях