Добавьте к угрозе NC и другие неприятности, свалившиеся недавно на Microsoft, и станет ясно, что поводов для радости в Редмонде сегодня маловато.

По данным International Data Corp., Microsoft SQL Server для Windows NT в течение двух лет теряет значительную часть рынка, конкурируя с продуктами, работающими на разных платформах. Разработанная в Microsoft технология кластеризации Wolfpack (англ. "Стая волков") на деле оказывается Chihuahuapack (стая чи-хуа-хуа, очень маленьких собачек). Бесконечные объявления независимых поставщиков программного обеспечения о поддержке новых стандартов, таких как Java, JDBC, LDAP, IMAP4 и CORBA, направлены на продвижение разработанных компанией Microsoft TAPI, MAPI, ISAPI и прочих API, а также множества других, привязанных к Microsoft спецификаций, о которых нельзя сказать, что они находятся в центре внимания.

На сегодняшний день вы, несомненно, наслышаны более, чем того хотелось бы, о некоем немце, который продемонстрировал, что злонамеренные манипуляции с ActiveX способны тайно опустошить ваш банковский счет. Утечки, дефекты, халтурные, наспех сработанные сервисные пакеты свидетельствуют о незрелости Windows NT. А совсем недавно детишки из колледжа понаходили в Internet Explorer столько недостатков, что их хватило бы, чтобы наполнить Альберт-Холл. (Приношу извинения у тех, кто не принадлежит к поколению Beatles и не может понять это сравнение.)

А что касается последнего скандала с безопасностью Microsoft Internet Explorer, так это не просчет, а присущее ему свойство. Internet Explorer создавался с расчетом на простоту запуска файлов независимо от того, находится ли файл на вашем жестком диске или же на сервере, где-нибудь за морями, за долами. К сожалению, кому-то совсем не из Microsoft в августе прошлого года пришло в голову запустить из Explorer файл, который оказался документом Word for Windows, содержащим макрос-злоумышленник.

Затем, несколько недель назад, к списку опасных были причислены файлы .URL, .LNK и .ISP. Получается, что Common Internet File System, предлагаемая Microsoft, открывает двери в сеть всяким мошенникам. Очевидно, эта компания не задумывается о том, что творится за пределами локальной сети. Microsoft ставит на Explorer заплатку, чтобы перед запуском потенциально опасного типа файла программа спрашивала у вас разрешения (аналогичная процедура существует в Netscape Navigator). Это хорошо, но такое решение фактически лишает Microsoft или кого-либо еще возможности "бесшовного" включения браузера в настольную систему, работающую под Windows.

Если целью является бесшовный, безопасный доступ настольной системы к удаленным файлам в Internet, то Microsoft работает на всю катушку. Реально существует единственный способ решения этой проблемы без риска для локальной сети. Вы должны исключить возможность того, что какая-то из программ, с которой работаете, может подействовать на ваши локальные диски. Лучше всего спокойно избавиться от локальных дисков.

Короче говоря, браузер на базе Java - это неплохо, но сетевой компьютер, работающий на Java, - тем не менее лучше.

Но, даже если вы устали от бесконечных повторений, то придется скрепя сердце, выслушать еще одну проповедь. Речь пойдет о Coda от RandomNoise. Coda позволяет вам создавать целые Web-страницы на Java, вместо того чтобы пользоваться смесью содержания на HTML, тегами и апплетами на Java.

Большинство ученых мужей, кажется, зациклились на том, что Coda предлагает способ отображения восточных шрифтов, с которыми не умеет работать HTML. Наш Боб Меткалф - единственный, человек, который, как мне кажется, видит картину несколько шире. Он подчеркнул, что внедрение Coda может привести к замене HTML на Java.

Web-страница на Java стирает разницу между приложением и данными. Она представляет данные так же, как это сделала бы HTML-страница, но каждый элемент на экране может потенциально рассматриваться как интерактивная часть замысловатого приложения.

Другими словами, Web-страница становится достаточно мощной и безопасной, чтобы завоевать право на звание нового интерфейса в мире пользователя настольной системы. В это уравнение не включены Explorer и Windows.

Итак, каково же положение Microsoft? Почивает ли она на лаврах или же потихоньку движется к своему концу? Лично я считаю, что Microsoft может выкарабкаться из этой ситуации. Все, что ей надо сделать для того, чтобы восстановить свое положение - это, отвернувшись от Windows NT, обратиться к Unix, бросить Distributed Component Object Model ради CORBA; вышвырнуть протоколы, ориентированные на Windows, ради стандартов, не зависящих от платформы; принять Novell Directory Services компании NetWare; ликвидировать ActiveX; перенести SQL Server на несколько различных платформ и отказаться от идеи интеграции Internet Explorer в настольную систему.

Мой адрес: nicholas_petreley@infoworld.com.


Найдена очередная ошибка в Microsoft IE 4.0

Список изъянов в системе защиты Internet Explorer 4.0, задерживавших выход этого браузера, продолжает расти.

В дополнение к трем ошибкам, найденным независимыми группами студентов колледжей, Microsoft обнаружила еще одну и пообещала исправить ее в Explorer 3.02, обновленной версии продукта, разрабатываемой в настоящее время. Изъяны в системе защиты браузера Microsoft заставили компанию выпустить ряд средств коррекции и обновленную версию Explorer 3.x, а также, вероятно, задержали выпуск очередной версии Windows.

Последняя из найденных ошибок связана с отсутствием функции защиты информации в технологии объектных контейнеров Document Object (или DocObject).

Если в Explorer загружен файл Word или Excel, другие страницы могут использовать его как DocObject для доступа к механизмам обработки скриптов Visual Basic Applications (VBA) вместо VBScript, в котором приняты меры для защиты информации.

Применяя этот способ, то есть создавая макросы VBA с помощью VBScript, можно удалять файлы, запускать приложения или вызывать функции из динамических библиотек.

Microsoft решила исправить эту ошибку в Explorer 3.01, изъяв из программы все ссылки на объект window.explorer; данный, не обсуждавшийся широко способ описан в обзоре Microsoft Network 2.0, опубликованном в апрельском номере Microsoft Systems Journal. Кроме того, создание DocObjects поддерживается в Visual Basic.

Microsoft обнаружила проблему с window.explorer менее месяца назад, когда новости об изъянах в системе защиты браузера уже были известны всем. В это же время на компанию посыпались обвинения в нестабильности работы и незащищенности технологии ActiveX. Предварительная версия Explorer 4.0 должна была выйти в конце марта, а окончательная - к середине года. В связи с тем, что один из вариантов установки Explorer 4.0 предусматривал его использование в качестве интерфейса Windows, возникли опасения, что подобная открытая система будет пестреть изъянами в защите информации.

Microsoft тщательно проверяет связи между Explorer 4.0 и новой версией Windows, имеющей предварительное название Memphis. По данным из близких к Microsoft источников, выпуск бета-версии Memphis был отложен, в частности, из-за проблем с защитой информации в Explorer.

- Боб Тротт,
InfoWorld Electric, США

Проблемы с обеспечением безопасности - очередная головная боль Microsoft

Корпорация Microsoft столкнулась с очередной проблемой обеспечения безопасности работы программ для Internet. Снова перед нами - привычный поток жалоб от клиентов, сообщения об ошибках и "заплаты" в программах.

На этой неделе корпорация начала изучать причины этих накладок. Появились сообщения о дефектах в Internet Information Server 3.0 (IIS), сервере, предоставляющем клиентам доступ к Active Server Pages или файлам .ASP. Это исполняемые файлы, которые должны оставаться невидимыми для пользователей, так как зачастую содержат конфиденциальную информацию, в частности пароли SQL-сервера. Однако некоторые пользователи сообщили, что им удалось ознакомиться с файлами .ASP, заменив точку в имени файла унифицированного указателя ресурсов (URL) знаками %2e.

Данная проблема появилась почти через месяц после того, как Microsoft установила специальную "заплату", пресекающую попытки клиентов ознакомиться с содержимым файлов .ASP. Для этого к унифицированному указателю ресурсов и была добавлена точка.

Кроме того, Microsoft объявила о выпуске бета-версии своей Internet Explorer 3.02. Она включает в себя "заплаты", устраняющие пробелы в защитной системе продукта. "Подобные дефекты сыграли злую шутку с Microsoft," - сказал главный аналитик Infoneties Research Джордан Стоун.

"Случается, что продукты выпускают второпях, а через сутки на телефонную службу корпорации для сообщений об ошибках обрушивается шквал звонков. Однако такие проблемы гораздо серьезней, чем ошибки при обработке текстов".

Менеджер по производству IIS Таня Ван Дамм предположила, что, возможно, эта проблема вызвана неправильным осуществлением инсталляции средств оперативной коррекции дефектов

- Эми Доан,
InfoWorld, США

Неудачи Microsoft в обеспечении безопасности продуктов на февраль 1997 г.

  • управляющие элементы ActiveX
  • Для получения конфиденциальной информации с жестких дисков ПК и для вывода из строя компьютеров пользователей хакеры используют ActiveX.

  • Internet Explorer
  • Дефекты продукта позволили хакерам получить доступ к удаленным компьютерам.

  • Internet Information Server 3.0
  • Ошибка в программе привела к тому, что пользователи могли ознакомиться с содержимым Active Server Pages.

    Поделитесь материалом с коллегами и друзьями