|
上周,微软透露了他们开发WinXP SP2时的一些幕后故事。
微软安全策略经理Window Snyder在加拿大Vancouver的CanSecWest会议上指出,在SP2中,微软在安全性上作了400多个重要的改进,并且消除了先前版本中的两类错误。
Snyder说:“商业用户和普通消费者最好都立刻升级到SP2。像以前一样,我可以说WinXP SP2更安全,更稳定。但如果我不给出具体原因,用户们都很难再相信这类陈词滥调。”
Windows XP从推出那天起就开始不断地暴露出各种安全漏洞。去年8月,作为可信赖运算计划(Trustworthy Computing Initiative)的一部分,微软终于推出了Windows XP SP2。 Snyder表示,可信赖计划,WinXP SP2,以及Windows 2003的开发都显著的影响了微软的工业流程和企业文化。
Snyder表示,目前微软把系统安全的重要性放在了产品发布时间表之前。在 SP2临近完成的时候,一家安全测试公司在分析代码的时候发现了一个漏洞,这个漏洞容易遭受整数溢出的攻击。当微软开始注意这个问题的时候,他们发现这个漏洞并不是个别现象。
Snyder说:“我们发现很多地方都出现了这种错误……处理这个问题的时候,我们没有使用以前的方法。微软将修正这个错误的重要性放在了产品上市日程表之前。为了这个问题,我们把发售日期延后了6周。这是正确作法。”
Snyder还介绍到,在SP2中,微软一共作了428个功能改进。其中,51个是关于Internet Explorer的,107个是关于网络功能的。另外,微软还发现并改正了两个非常特殊的漏洞。Snyder说:“这两类漏洞可能只有WinXP中才有。我们及时的发现了这两个漏洞,它们遍布整个系统。但幸运的是我们现在已经解决了这个问题。”
问到这两个漏洞的细节时,Snyder闭口不言,仅仅给出了公司内这两个漏洞的代号:Ginger和Photon。
不过,微软对系统安全的一味追求也惹恼了一部分人。业界已经有一些声音在批评微软在最近更新中取消原始端口(raw sockets)的决定。支持原始端口的操作系统允许应用程序直接控制通讯硬件。这种功能使得程序员对于通讯的分析和过滤更加容易。不过,这个功能也可以被黑客用来生成虚假网络数据。
目前,微软希望需要原始端口功能的公司转移到Windows 2003上。看来,这个功能在今后Windows系统上出现的可能性也非常的小。Snyder承认,在微软内部,关于是否支持这个功能也存在争议。她说道:“争议双方都有充足的理由,现在还不知道最后的结果是什么。”
Snyder还表示,这类改变的利弊权衡是项目小组最困难的工作之一。一大堆老的代码仍然存在与系统中。这是出于程序兼容性的考虑。不过,微软也在考虑一些风险小的解决方法:一是对代码进行重写。另外就是在用户需要的时候再载入这些代码。
//
|
