Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 16 reacties
Bron: ZDNet Australia, submitter: ac41964

De meest recente betaversie van Microsoft's Office 2003 bezorgt virusscanners grote problemen, omdat het Office bestandsformaat op basis van XML de scansoftware enorm vertraagt. Wanneer in Office 2003 macros worden opgeslagen in XML-formaat, kunnen ze overal in het bestand terecht komen. Virusscanners moeten daarom het gehele bestand doorzoeken naar de macro, in plaats van alleen de betreffende macro zelf. Antivirusbedrijven hebben een simpele oplossing bedacht, maar vooralsnog lijkt het niet zeker dat Microsoft bereid is om mee te werken. De oplossing is een header in het XML-bestand, dat precies aangeeft waar de macro zich bevindt, zodat AV-software niet de hele file hoeft te scannen. Office 2003 zou vervolgens alleen die macro's moeten openen die in de header gespecificeerd staan, zodat virussen niet door de mazen van het net kunnen slippen:

Virus - cartoon"Microsoft is certainly willing to co-operate with the antivirus industry," Kaminski said, but noted that "there's a huge argument going on right now...people you talk to...have knowledge but don't have the authority".

"Traditionally, when Microsoft had a choice between functionality and security, it has gone for functionality every time,", so whilst a more open format such as XML can be very useful, it doesn't make it easier for AV companies to deal with, Hruska said.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (16)

Ik verbaas me er niet over, als je de xml van een simpel word documentje bekijkt dan is dat al een ontzettend gore rotzooi.

Ik snap niet dat microsoft niet gewoon de data in normaal xml opslaat, dus met dingen als <header> enzo en dan vervolgens een xsl stylesheet gebruiken om het geheel te parsen.
Dat heeft dus neits te maken met de zooi van XML. Blijkbaar stonden macro's tot nu to gewoon op een vaste plek. Straks moet een scanner misschien het complete bestand ontleden, wat veel meer tijd kost
Ik snap niet dat microsoft niet gewoon de data in normaal xml opslaat, dus met dingen als <header> enzo en dan vervolgens een xsl stylesheet gebruiken om het geheel te parsen.
Tja.. net zoals OpenOffice bedoel je? :P tja, dat geeft de concurrentie een mogelijkheid beter compatible te zijn met Microsoft Office, dus is het aantrekkelijker om over te stappen, omdat OpenOffice dan bijvoorbeeld 100% compatible zal zijn :) Helaas... met het gesloten Word formaat heeft microsoft een goede troef in handen. :( Die willen ze imho niet weggeven.
so whilst a more open format such as XML can be very useful, it doesn't make it easier for AV companies to deal with, Hruska said.
Ik hoorde pas dat alleen de tekst er plain in staat in die XML files, dus geen opmaak erbij. Wel macro's dan?

MS kan nog VEEL leren van OpenOffice.org, check bijvoorbeeld het elegante fileformaat...
Opmaak in de files wordt gewoon meegegeven als style-blokken. Een tekstblok wordt gedefinieerd met onder andere whitespace informatie, taal en stijl. Jammer genoeg wel weer hetzelfde probleem daarmee: je krijgt rustig tien taalblokken na elkaar met exact dezelfde taal :(
"De oplossing is een header in het XML-bestand, dat precies aangeeft waar de macro zich bevindt, zodat AV-software niet de hele file hoeft te scannen. Office 2003 zou vervolgens alleen die macro's moeten openen die in de header gespecificeerd staan, zodat virussen niet door de mazen van het net kunnen slippen:"

Beetje naieve oplossing lijkt me.
Veel bedrijven werken met een soort virus-gateway (dwz: alle mail en http etc. verkeer wordt centraal gescand, en de floppy/cd-loze clients zijn minder of niet beschermd, worden bijv. maar 1x per week geupdate ipv elk uur).
Op deze manier is het dus om een bestand met een macro-virus ' goedgekeurd' door de centrale scanner te halen, en het daarna zo aan te passen dat de macro wel uitgevoerd kan worden.

imho is de beste methode toch "alles helemaal scannen" (en ik dacht/hoopte ook dat dit zo ging), en dan de vertraging maar voor lief nemen.
Beetje naieve oplossing lijkt me.
Veel bedrijven werken met een soort virus-gateway
Aangezien MS vrij is om het bestand in te delen is het een eenvoudige ingreep dat als een bepaalde header zou ontbreken de macro niet meer uitgevoerd kan worden. Op die manier kun je heel eenvoudig het scannen van files versnellen. Vrijheid in opmaak is geen excuus voor afwezigheid van logica.

Op die manier kun je misschien met een gateway alle documenten checken in plaats van met 3 of een hele zware. Voor degenen die oude servers hebben overgezet naar MS servers misschien geen onbekend verschijnsel.
http://www.aaxnet.com/editor/edit029.html#altpath

Het zou wel het einde betekenen van het afgeschreven pc-tje als mail-gateway en virusscanner. Nu alleen nog een methode om te zorgen dat de gateways Windows moeten draaien om de documenten te kunnen scannen, Palladium, TCPA of zo...

Het is maar net waar Microsoft de prioriteit legt: marktpenetratie of kostenbesparing bij zijn klanten...
De laatste quote in het artikel is wel interessant.
MS pakt het juist op dit moment anderom aan, eerst security, dan functionaliteit.

Dit gaat wel goedkomen.
Mja.... waarom kijk ik hier sceptisch naar :?
Het moet toch niet zo gek gaan worden dat je security patches over je office-documenten moet gaan halen :?

Ik heb de HTML conversie van MS toch nooit begrepen, in office97 komt er nog redelijke HTML uit maar in 2000 wordt het bestand tig keer zo groot door gewoon al die onnodige rotzooi wat erin zit. Dus ik vrees ook voor het XML formaat.
Als er in de header gaat staan waar de macro zich bevindt, is dit dan niet gevaarlijk? Als ik dan een macro schrijf in een xml document en dit opsla, dan kan ik daarna met een eenvoudige editor (notepad) even de xml doorlopen en de header aanpassen, zodat de AV de macro niet meer kan vinden. Dan passeert hij gewoon alle AV en zodra hij op een computer uitgevoerd wordt, Kaboem !!!!!!!!!!
En als het nou zo gemaakt wordt dat een macro alleen uitgevoerd kan worden als hij in de header staat? Jouw "oplossing" zal dan niet werken.
Persoonlijk vind ik dat al die virusscanners (en dan doel ik vooral op Norton) eerst maar is die poespas uit hun software moeten halen.

Ik heb verschillende systemen gewoon vast zien slaan of beduidend langzamer zien worden na het installeren van Norton 2003, ook CT was was er niet over te spreken.
Lekker kort door de bocht om te redeneren dat de vertraging komt door "poespas". Het grote probleem met een real-time scanner is dat hij in theorie elke bitje dat van de schijf gelezen wordt of naar de schijf geschreven wordt zal moeten controleren.
Ik zeg: in theorie, omdat de virusmakers hier slimme algorithmen voor bedacht hebben, zoals het bijvoorbaat uitsluiten van (delen van) bestanden die nooit uitgevoerd zullen worden e.d. Het probleem van dit formaat is nu juist dat dit soort algorithmen niet meer werken omdat de macro's juist in elk deel van het bestand voor kunnen komen. Erg jammer (misschien is zielig het juiste woord) dat MS hier niet aan mee wil werken; het is een relatief simpele aanpassing die het bestand slechts enkele bytes groter zullen maken maar de snelheid van een systeem enorm te goede kunnen komen.
Ik weet niet of het zo'n beetje al gezegd is, maar ik zie ook nog wel virusen komen die simpel en alleen de header van de Office docs veranderen.. Dat wil dus zeggen dat zodra een office document verstuurd word de header veranderd wordt zodat het virus niet gevonden wordt en de macro wel uitgevoerd wordt?? Misschien een longshot maar denk ik zeker wel te doen..
Het lijkt me toch wel dat Microsoft mee gaat werken; anders werken ze zichzelf alleen maar tegen.
Het is toch gewoon net programmeren en makkelijker voor foutcontrole en bepaalde operaties als je een nette header ergens boven zet? Maar virusscanners scannen toh wel meer dan slechts de macro's in een file?
Was niet 1 van de (weinige) goede punten van TCPA dat virussen, trojans en spyware niet meer zouden kunnen werken, tenzij de gebruiker dat zelf zou toelaten?

Als TCPA straks helemaal is ingevoerd zouden de producenten van antivirus-software dus geen markt meer hebben voor hun producten. De kans dat deze bedrijven TCPA zo veel mogelijk zullen proberen tegen te werken lijkt mij nogal groot. Dus bij alle berichten van dit soort bedrijven m.b.t. toekomstige MS produkten zou je hun belangen ook in de evaluatie moeten betrekken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True