Метод Берста
Стремясь всеми правдами и неправдами выиграть войну за господство в Web, Microsoft пошла на ужасный риск. Она рискует вашей безопасностью.
Постепенно пользователи осознают, что технология ActiveX корпорации Microsoft - ядро ее Internet-архитектуры - делает компьютеры уязвимыми для нападения. Каждая технология имеет свои слабые места, но недостатки ActiveX усугубляются нежеланием Microsoft выполнять свой долг.
Управляющие элементы ActiveX - это небольшие программы, которые могут быть загружены через Internet для последующего выполнения в Internet Explorer, браузере корпорации Microsoft. Как и Java-аплеты, элементы ActiveX позволяют разработчикам Web использовать новые мощные функции. Или создавать новые угрозы.
То, что делает технологию ActiveX столь эффективной, одновременно является источником риска. Java-аплеты работают в “песочнице”, за барьером, отделяющим их от остальной части пользовательского ПК. Поскольку поводок у Java-аплета короткий, создаваемая им опасность невелика. Но за все надо платить, и аплет расплачивается уменьшением функциональных возможностей. Элементы ActiveX не ограничены барьером “песочницы”. После того как компонент ActiveX загружен, он может сделать фактически все, до чего додумается программист: например, стереть жесткий диск.
Microsoft считает, что расширенная функциональность ActiveX стоит риска, связанного с безопасностью. “Решение”, предлагаемое корпорацией, - это система Authenticode, построенная на принципе информирования пользователя об отправителе конкретного управляющего элемента. “Пользователи должны решить, кому они доверяют”, - заявил Корнелиус Виллис, директор по маркетингу корпорации Microsoft. С моей точки зрения, это все равно что просить людей, посылающих бомбу по почте, указать свое имя на коробке. Лично я предпочел бы иметь систему, которая следила бы за тем, чтобы в почтовых отправлениях не было бомб.
Журнал Windows Sources первым обратил внимание на значительность проблемы и беспечное отношение к ней Microsoft. “Несмотря на то что Microsoft поставляет архитектуру и средства, которые делают подобную атаку возможной, корпорация не признает за собой никакой ответственности”, - заявил главный редактор журнала Дэвид Берлинд, бывший директор Тестового центра PC Week Labs. Вместо того чтобы помочь пользователям осознать и свести к минимуму возможный риск, Microsoft успокаивает себя тем, что теоретически такие проблемы возможны и для продуктов корпорации Netscape Communications. “Честно говоря, меня тошнит”, - сказал Берлинд.
Я могу понять гнев Берлинда. Когда в вашем городе совершается убийство, вы требуете, чтобы мэр сделал улицы безопаснее. Вы не хотите слушать заявления типа: “Ну и что? Такое могло случиться и в Нью-Йорке!”.
Почему же Microsoft не делает того, что нужно пользователям? Да потому, что в битве за лидерство в Web корпорация поставила на технологию ActiveX (и лежащую в ее основе архитектуру COM) все, что имела. Microsoft выигрывает, устанавливая стандарты, и отчаянно нуждается в обладании стандартом на механизм распределенных вычислений через Internet.
“ActiveX - это их ключ к будущему, - пояснил Берлинд. - Microsoft никогда не признает, что у ActiveX есть проблемы с безопасностью”.
Так как же быть в этой ситуации? Фирма Intuit считает, что пользователям следует избегать ActiveX. Такая точка зрения появилась после того, как хакеры с помощью ActiveX предприняли атаку на ее продукт Quicken. Лично я не настроен столь радикально, но все же рекомендовал бы вам не использовать ActiveX на узлах Web, доступных извне, и подождать, пока Microsoft найдет лучшее решение проблемы безопасности.
Джесс Берст
Джесс Берст - главный редактор ZD Net AnchorDesk, бесплатной службы Web-новостей и электронной почты (www.anchordesk.com).
Присылайте ему свои комментарии по адресу: jesse@jesseberst.com.
