Microsoft: betere beveiliging betekent uitstel producten

Bravo! Niet omdat het een opmerking over Microsoft is, maar omdat hieruit af te lezen is dat hier iemand spreekt met Software Engineering ervaring! (dat is iets anders dan coden) edit: grappig om dit ook in je profiel terug te vinden.

heh, ja ik doe al 10 jaar niks anders

Zelf wou ik er nog aan toevoegen, dat ik het zeer opmerkelijk vind dat Microsoft nu zoveel nadruk legt op het woord "security' in hun presentaties, toen ik het artikel las had ik de indruk dat het deels als excuus gebruikt wordt, omdat de menigte (non professionals) het zo makkelijk accepteerd.

Het is puur politiek. Je praat hier niet over een paar installaties van 'een' programma, dit gaat over de software op desktop computers en servers die door verreweg de meeste mensen op deze aarde wordt gebruikt, direct of indirect.

Als er dan fundamentele security issues naar boven komen drijven hebben die dus verregaande gevolgen, althans als ze misbruikt worden door kwaadwillenden. Dus het is zaak om het gemor onder de (potentiele) klanten te smoren door toe te zeggen dat je er volop mee bezig bent.

Een MKB directeur die software voor zn bedrijfje wil kopen begrijpt termen als 'security' tegenwoordig, maar hoe en wat verder niet. Dus als MS zegt dat ze security topprioriteit heeft, dan is dat voldoende, althans, om het meeste gemor te lijf te gaan.

Er komt echter een ander probleem op zo langzamerhand en dat is dat je wel kunt blijven roepen dat het topprioriteit heeft, men wil ook wel eens daden zien. De wormen vliegen nog altijd om je oren. Dat dit voornl. komt door flaws in oudere versies van windows en outlook (express) is een van de dingen die men dus NIET zegt, maar waar men zolangzamerhand WEL mee geconfronteerd gaat worden: men kan wel blijven roepen dat XP bv een nieuw service pack krijgt wat alles fixed wat er te fixen valt, feit blijft dat een inmense hoeveelheid mensen nog altijd met oudere windows versies werkt, oudere office versies en oudere outlook express versies. Die mensen help je niet met een XP service pack.

Verder wordt het meer en meer duidelijk dat MS maar wat heeft aangekloot de afgelopen jaren. I.p.v. bijvoorbeeld Internet Explorer een echte sandboxed applicatie te maken (dus het kan totaal niet buiten zichzelf komen, geen files lezen vanaf disk etc. etc.) probeert men lekjes in routines die misbruik maken van het feit dat het GEEN sandboxed applicatie is te verhelpen, maar dat verhult NIET dat zodra een ander lek ontdekt is, de applicatie dus weer je systeem open zet voor kwaadwillenden.

Daarom is het essentieel dat security een onderdeel is van je design. Je ziet bv in .NET terug dat men daar vanaf het begin erg mee bezig is geweest. In het geval van bv Windows Media Player is dat absoluut niet het geval. Je kunt scripts embedden in media streams. Dat is al eens fout gegaan met een buffer overflow in media player. Dit is dan schadelijk ivm de foute constructie van hoe die applicaties werken mbt externe connecties: de externe connectie houdt niet per definitie op bij de applicatie in user-land in memory, maar kan via die applicatie in theorie elk onderdeel van het systeem bereiken.

Het zijn dat soort 'functionele design errors' die security zo belangrijk maken vanaf het begin. Je kunt achteraf wel wat bufferoverflows fixen of wat access right misbruik trachten te voorkomen, de al aanwezig functionaliteit verwijderen omdat het potentiele schade kan aanrichten is dan al vaak veel te laat.