Microsoft заявляет, что Silverlight неуязвим для большинства распространённых средств атаки

Большинство аналитиков согласны, хотя и говорят, что убедиться в этом можно будет только при эксплуатации данной технологии.

Silverlight, разрабатываемая Microsoft интернет-мультимедиа технология, которая, наверное, будет выпущена через несколько месяцев, но не смотря на то, что программа еще не вышла, эксперты уже пришли к общему мнению, хотя и не особо крепкому, насчёт того, насколько безопасна будет она.

Эксперты подтверждают заявление Microsoft о том, что программа не будет легко используемой для хакеров. Microsoft заявила, что Silverlight, который является плагином работающим с браузерами Internet Explorer, Firefox и Safari, имеет ключевые особенности, которые должны предотвратить возможность атаки на него.

Хакеры переходят от атак на операционные системы к атакам интернет-приложений. Кроме того, учитывая давнюю тенденцию хакеров направлять основные усилия на продукты компании Microsoft, то данная технология будет проверяться очень жестко.

"Хотя еще очень рано о чём-то говорить, но все доказательства мы получим во время эксплуатации" - заявил Бола Ротиби, аналитик Ovum Ltd.


Главное - удачно выбрать время

Silverlight, который должен выйти этим летом, появляется как раз тогда, когда интернет-разработчиков критикуют за небезопасность создаваемых ими сайтов.

Наибольшей критике подвергается Asynchronous JavaScript and XML (AJAX), популярная технология, позволяющая использовать мультимедиа рекламу, из-за её уязвимости к атакам кросс сайтового скриптинга (XSS).

Но и другие технологии для интернет-приложений, типа QuickTime от Apple, Microsoft Windows Media Player и Adobe Flash, которые Microsoft надеется вытеснить с помощью Silverlight, также оказались уязвимыми.


Безопасность песочницы

Microsoft заявляет, что Silverlight использует преимущества браузерных веб-технологий, также как и программную структуру .NET, чтобы сделать Silverlight настолько безопасным, насколько это вообще возможно. "Мы ограничили его функциональность" - заявил Брайан Гольдфарб, главный менеджер по продукции в команде по интернет-платформам и инструментальным средствам.

Например, Silverlight исполняется в виртуальной "песочнице" браузера. Как сказал Гольдфарб, это значит, что даже если вредоносное ПО, или хакер, смогут таки взломать Silverlight, то он не сможет получить доступ к другим приложениям, или серверу, так как песочница полностью безопасна.

"Игра в песочнице в браузере - обычная и хорошо известная идея, и при условии, что в браузере нет каких-либо уязвимостей, тогда эта технология относительно безопасна" - подтвердил Ротиби.

Кроме того, Silverlight является расширением технологии .Net, которую Гольдфарб назвал "имеющей достоверный послужной список в плане безопасности".

Данный факт, должно быть, является причиной того, что .Net использует технологию известную как управляемый код, что означает, что программы запускаются в рамках виртуальной машины, и никогда напрямую не взаимодействуют с "голым железом" компьютера, а это нивелирует обычные стратегии хакеров, типа вызова переполнения буфера, заявил Гольдфарб.

И так как Silverlight является расширением .Net, то он должен избежать обычных ошибок присущих первому поколению технологии.

"Это новый продукт, и в то же время это не новый продукт" - заявил Гольдфарб.

И наконец, хотя Silverlight взаимодействует с JavaScript, который является компонентом AJAX, который известен своей уязвимостью к XSS-атакам, сам Silverlight не должен быть уязвим для XSS-атак, заявил Гольдфарб.


А слабость в том...

Джеффри Хаммонд, аналитик в Forrester Research, в значительной степени не доверяет заявлениям Microsoft. Слабость в том, что разработчики создают приложения, работающие на Silverlight, говорит Хаммонд, и даже если Microsoft, по словам Гольдфарба, "приложила множество усилий", чтобы научить разработчиков как избежать создания небезопасного кода, это всё равно будет происходить.

"Разработчики ненамеренно создают дефекты или уязвимости в коде, но это случается даже с лучшими из нас. В любом случае, я думаю, нас ожидает короткий период встряски" - заявил Хаммонд.

Крис Свенсон, аналитик NPD Group, утверждает, что уязвимости в Silverlight и Flash хотя бы будут исправлены намного быстрее, чем уязвимости в AJAX, который испытывает недостаток в поддержке одной крупной компании.

"Microsoft и Adobe будут быстро закрывать дыры, по сравнению с AJAX, Silverlight будет на чаше весов безопасности" - заявил Свенсон.

Когда в прошлом году в Flash были найдены уязвимости, то Microsoft выпустила для них заплатки примерно в то же время, что и Adobe.

С другой стороны, Джеремая Гроссман, главный технический директор в White Hat Security, больше верит в изобретательность black hat хакеров, чем в таковую у Microsoft.

"Все эти меры безопасности хороши и прекрасны, но, к сожалению, они вряд ли способны защитить пользователей от новых методов атак".


Источник: http://www.computerworld.com
Перевод: Zloy Kak Pё$