TECHLABS Software Digest # 2\'07

версия для печати послать другу 0
|| Содержание статьи

Показать одной страницей

14.04.2007 12:23 Автор: TECHLABS Team

Мы рады представить вам в субботний полдень второй выпуск Software Digest. Сегодняшняя неделя была не такой богатой на сенсации как предыдущая, однако несколько ярких моментов, которые особенно заинтересуют всех поклонников и почитателей "фруктовой" компании из Купертино, речь конечно же  об Apple.  Некоторые продукты компании продолжают радовать счастливых владельцев, а некоторые ставят палки в колеса для других. Пожалуй, начнем именно с новостей от Apple.

Если вы являетесь постоянными читателями нашей "железной" колонки, то наверняка уже прекрасно себе представляете гибрид телефона и плеера iPod, который кует Apple в своих технологических цехах. Еще до официального выхода  устройства, которому сейчас пытаются очертить отдельное поле деятельности в классе коммуникаторов, общественность разделилась на будущих пользователей iPhone  и противников очередного девайса Apple. Аккурат в пятницу тринадцатое на сайет Apple появилось заявление, которое сильно расстроило один из сегментов почитателей Apple – пользователей Mac. В разделе Hot News на "яблочном" сайте красуется объявление: "iPhone уже успешно прошел ряд требуемых сертификацией тестов и появится в продаже в конце июня в точно запланированные сроки… Однако завершение работ над программным обеспечением iPhone, которое является наиболее совершенным ПО, когда-либо выпущенном для мобильной платформы, требует определенных жертв – часть ведущих программистов из команды разработчиков Mac OS X переведена на новое направление, и это означает, что Apple не в состоянии выпустить новую систему к июньской Worldwide Developers Conference. Хотя работы над новыми функциями "Леопарда" к началу лету будут закончены, мы не можем гарантировать действительно высокое качество продукта, которое по праву ожидают от нас покупатели. В настоящее время мы планируем продемонстрировать разработчикам на конференции финальную версию "Леопарда", представить в их распоряжение бета-копию системы и выпустить Mac OS X Leopard в октябре… Жизнь полна компромиссов, и мы уверены, что в данном случае сделали правильный выбор".

TECHLABS

За время своей деятельности на IT-рынке Apple получила репутацию компании, которая выполняет обещанное в срок. Учитывая тот факт, что первые расплывчатые заявление о выпуске операционной системы, ожидаемой превалирующим большинством пользователей Mac, звучали еще в марте, но, как оказалось, Apple решила подготовиться более основательно и выпустить долгожданную операционку аккурат к конференции World Wide Developer 2007. Раз уж Leopard появится только в сентябре, мультимедийный и офисный пакеты iLife, iWork, которые, к слову, теперь будут называться Leopard Edition. Будем надеется, что задержка выпуска операционной системы следующего поколения на 5 месяцев, позволит представить общественности безупречный продукт.

Еще одним топом недели можно назвать расширение функционала "яблочной" приставки Apple TV.  Первые сообщения об удачном взломе звучали еще в начале месяца, когда хакеру Semthex удалось установить на Apple TV полнофункциональную версию MacOS X. Он изложил все премудрости прошивки обыкновенной приставки для телевизора  до "бюджетного" Mac. Именно это событие стало знаменательным в становлении Apple TV как многофункционального устройства. Политика производителя не может не радовать: каждый пользователь может делать со своей Apple TV все, что ему угодно. Бэкдоров и уловок с прошивкой Apple выпускать не станет. Однако гарантиное обслуживание устройства не будет действовать, если пользователь подвергал приставку экспериментам по прошивке. Как видно хакеры решили выжать из этого гаджета все, что он может. К обновленным возможностям Apple TV добавились полнофункциональный RSS(Really Simple Syndication)-ридер и эмуляторы приставок Super Nintendo, Nintendo Entertainment System, Nintendo 64. Поддержку RSS осуществили блоггеры из twenty08, так что теперь Apple TV превращается в удобный новостной агрегатор, который будет держать своего счастливого пользователя в курсе всех последних событий, естественно, при условии, что он установит патч на свой страх и риск.

Прием и чтение RSS версий 1.x и 2.x будет производиться рядом с фотографиями и медиа. В статье на Wikipedia было сказано, что некоторые популярные эмуляторы Ричарда Баннистера (Richard Bannister), который является одним из самых создателей эмуляций для платформы Mac OS X, запускаются на Apple TV при помощи сетевого протокола удаленного управления SSH (Secure Shell). В документальном видео, загруженном на YouTube, подтверждается способность Apple TV выступать в роли эмулятора Nintendo Entertainment System, легендарной "восьмибитки", которая была выпущена в середине восьмидесятых годов прошлого века. На сайте Apple TV Hacks самая талантливая команда может получить вознаграждение: $1000 за решение (можно сказать и взлом), который позволит поддержку внешнего жесткого диска через USB-шину. Стоит заметить, что политики Apple относительно взлома приставки вызывает негодование и удивление. После сотен подтверждений "многозадачности" приставки, Apple заявила, что не станет использовать хитрых уловок вроде backdoor или тайных программных апдейтов для устранения уязвимостей. Политику компании можно озвучить следующей фразой: "это ваша приставка, делайте с ней что хотите, но помните, что это может отразиться на гарантийном обслуживании". Раз уж Apple не запрещает ломать Apple TV, мы не можем не привести ссылки, по которым наши читатели смогут ознакомиться с методикой взлома девайса в познавательных целях. Первый зафиксированный взлом Apple TV описан здесь, о добавлении RSS рассказывается здесь, а о возможности использовать Apple TV в качестве приставки можно прочитать здесь. Нам кажется, что награда в $1000 долларов очень скоро может уйти в руки победителей конкурса. И в Apple TV откроется еще одна важная функция, после чего Apple стоит задуматься об изменении слогана для более выгодных продаж приставки.

 

Действительно ли всем сайтам, которые можно назвать представителями Web 2.0 грозит опасность из-за неверного использования JavaScript? Как считают сотрудники американской компании Fortify Software - большинство фреймворков используют JavaScript нет так как должно и это может стать причиной утечки информации о постетителях. Fortify решили назвать это взломом JavaScript. По словам специалистов, эта проблема возникает по причине того, что многие утилиты на базе AJAX используют язык скрипта в качестве "транспортного" механизма, а безопасность остается в стороне. Считается, что самыми опасными являются сайты, использующие подделку http-запросов (XSRF). Используя XSRF владельцы сайтов получают данные из AJAX-приложений. На сегодняшний день эта проблема не приобрела широкомасштабного распространения, но AJAX будет использоваться все чаще и чаще, достаточно вспомнить новую поисковую систему Yahoo! Alpha. Иными словами, чем больше число сайтов с AJAX-приложениями, тем больше уязвимых систем в сети."Мы стараемся донести до разработчиков, что у них появился по крайней мере один повод для размышлений, которого не существовало ранее. Обычно специалисты по информационной безопасности появляются спустя длительное время после того, как что-то случается. Однако на этот раз у нас есть шанс решить проблему до ее реального возникновения", — заметил научный специалист Fortify Software Брайан Чесс (Brian Chess). Продолжая рассуждать об уязвимости систем он заметил: "Мы стараемся донести до разработчиков, что у них появился по крайней мере один повод для размышлений, которого не существовало ранее. Обычно специалисты по информационной безопасности появляются спустя длительное время после того, как что-то случается. Однако на этот раз у нас есть шанс решить проблему до ее реального возникновения". Ни для кого не секрет, что JavaScript стал использоваться гораздо чаще для атак на удаленные компьютеры. Вспомним 2005 год и сетевой червь Samy, который распространялся среди пользователей сверхпопулярного социального ресурса MySpace. В 2006 году исследователи предупреждали, что в случае более активного распространения интерактивных технологий количество червей будет неуклонно расти. Иными словами, чем ближе к нам Web 2.0, тем уязвимее мы становимся. Web 2.0 в Рунете уже достаточно развит и хотя заявления Fortify Software можно назвать прозрачными, общая суть проблемы ясна. Можно сказать, что принцип функционирования JavaScipt будет пересмотрен, но какой способ для этого будет избран пока неясно.

TECHLABS

 

Еще одно открытие в области компьютерной безопасности сделал исследователь компании Juniper Networks. Джек Барнаби (Jack Barnaby) заявил, что ему удалось открыть новый тип хакерских атак, которым подвержены самые различные устройства начиная от коммуникаторов, карманных компьютеров и заканчивая маршрутизаторами. По словам Барнаби, уязвимость связана с особенностями процессоров архитектуры ARM и XScale (пятое  поколение архитектуры процессоров ARM). Принцип получения доступа к устройствам и похищения информации аналогичен DDoS-атакам, получивших широкое распространение с 2000 года.  Новая методика взлома портативных устройств пришла в голову работнику Juniper, когда он тестировал оборудование с помощью интерфейса Joint Test Action Group (JTAG). Поскольку интерфейс для отладки и программирования JTAG в 90% случаев не блокируется, именно он является ключевым для новых горизонтов взлома карманных устройств на архитектуре ARM и XScale. Разработчики JTAG хотели сохранить возможность диагностики оборудования неблокированной потому, что разблокировка интерфейса может "влететь в копеечку". Если верить специалисту по компьютерной безопасности, эффективность проведения атаки гарантирована. Радует тот факт, что открытие Барнаби не стало достоянием Интернет-сообщества, иначе сообщения о взломах портативных устройств могли бы стать основной проблемой этой недели.  Барнаби заметил, что его открытие будет обнародовано достижения на грядущей конференции по вопросам безопасности CanSecWest, которая будет проводиться в Ванкувере. Будем надеятся, что вся аудитория предстоящей конференции будет достаточно компетентна и утечки информации не произойдет.

TECHLABS

На этой неделе стало также известно, что Google, Yahoo и Microsoft наконец сплотились для создания общего блага. Все три компании стремятся продвинуть свои поисковые системы, причем каждая идет по своему для достижения победной прямой, за которой потуги конкурентов будут казаться смешными. Google всем известна одноименной поисковой системой, Yahoo! активно рекламирует новое слово в системах поиска, то есть Yahoo! Alpha, а Microsoft старается привлечь внимание общественности к Live Search и даже приплачивает некоторым за это. Однако на этот раз Google, Yahoo и Microsoft занялись усовершенствованием протокола Sitemap. Sitemap представляет собой графической отображение архитектуры веб-сайта либо в виде документа, который является планировочным инструментом для веб-дизайна, либо веб-страницы, которая перечисляет, общее количество страниц на веб-сайте иерархическим методом.  Sitemap является важным элементом для индексации сайта поисковыми системами. Соглашение о поддержке Sitemap между тремя компаниями было подписано не так давно - в ноябре 2006 года. Карта сайта представляется в виде размещаемого на нем XML-файла, который создан для  упрощения обнаружения и интерпретации страниц поисковыми системами. Одной из новых функций Sitemap 0.90 стало появление стандартного способа уведомления обходчиков о расположении файла Sitemap на ресурсе. Данная информация помещается в файл robots.txt, в котором стандартно указываются разделы сайта для поисковых систем, которые не подлежат индексации.

TECHLABS

Вот, собственно говоря, основные, как нам кажется, события софтверной среды ушедшей недели. Конечно же, можно было добавить о новых уязвимостях в Word 2007, которые обнаружились недавно, а также упомянуть о выходе нового билда Opera 9.20 (что уже сделано этим предложением), но эти события нельзя назвать настолько яркими и значимыми, поскольку Microsoft давно известна своим подходом к разработке программного обеспечения, а новая Opera представляет собой достойный браузер, который все же имеет не менее достойных конкурентов в "browser war". До встречи на страницах следующего выпуска Software Digest.

|| Комментарии на форуме 0
Оставить комментарий