Cityline: Вечерний Интернет: 3AMETKA 105

Microsoft's ActiveX technology is the single greatest technological threat to the future of the World Wide Web. Microsoft's ActiveX promoters are either so blinded by their own rhetoric that they don't see the danger of this new technology, or else they are so cynical that they would destroy the very essence of the Internet rather than compromise their market dominance.

Simson Garfinkel. DEADLY CONTROLS

В анонсе, который вчера разослала служба Anchordesk своим подписчикам, было сказано буквально следующее:

Ни для кого не секрет, что технология ActiveX является серьезной угрозой для компьютерной безопасности. Спросите у кого угодно. У Intuit. Даже у Microsoft. Но грязный маленький секрет, которого Microsoft не хочет никому открывать, состоит в том, что решение проблем с безопасностью ActiveX невозможно без перестройки всей системы безопасности Windows.

Получатели этого сообщения приглашались за подробностями явиться по адресу:

Там их ждала провокационная (как обычно) затравка Джесси Берста, приглашение к дискуссии (уже бушующей) и список отменно полезных линков на разные ресурсы сети ZDNet, посвященные проблемам безопасности ActiveX.

Наезды на ActiveX с точки зрения безопасности этой технологии давно стали общим местом всей бумажной и сетевой компьютерной прессы. Вынесенный в эпиграф пассаж из Гарфинкеля датирован ноябрем 1996 года, и с той поры положение с безопасностью компонентов ActiveX не изменилось нисколько. Главная беда, однако, заключается в том, что проблема, портящая кровь разработчикам ActiveX, не имеет однозначного компьютерного решения.

Попробуем обрисовать проблему простыми словами. Компоненты ActiveX - это исполняемые программные модули, которые можно сгружать с сайтов Паутины, после чего они сами себя устанавливают в Windows и работают на компьютере пользователя, становясь зарегистрированными компонентами локальной системы. Опасность состоит здесь в том, что модули ActiveX после установки в Windows пользуются практически неограниченным доступом ко всем ресурсам машины, на которой они работают. То есть при желании любой хакер может написать программу ActiveX, которая будет форматировать диск пользователя, перекачивать его файлы на любой удаленный сервер в Интернете, управлять банковскими счетами владельца компьютера и вообще творить любое непотребство с его ресурсами.

Предназначение технологии состоит, конечно же, не в этом. А в том, чтобы создатели интернетовских серверов могли распространять свои информационные продукты и услуги не только в форме статических документов, но и в форме интерактивных модулей и прикладных программ. ActiveX является способом превратить недвижные гипертекстовые документы в динамические, интерактивные информационные среды, способные изменяться в ответ на запросы, введенные пользователем. То есть намерения у создателей этой технологии были самые благие. Но имплементация по сути своей такова, что открывает практически безграничное поле для злоупотреблений и взлома систем.

Альтернативой являются исполнимые модули (классы) на Яве. Они также сгружаются с удаленного сервера, а запускаются и работают на локальном компьютере, осуществляя доступ к местным и сетевым ресурсам через интерпретатор - Java Virtual Machine. С точки зрения безопасности существующие на сегодняшний день приложения на Яве во много раз надежней, чем модули ActiveX. Потому что разработчики Явы изначально спроектировали эти приложения так, чтобы они могли работать под жестким контролем пользователя, с подрезанными крыльями. Программы, написанные на Яве, не могут осуществлять операции записи и удаления файлов на локальном диске; они также не могут от имени пользователя подключаться к интернетовским серверам без его ведома и вытворять разные фокусы, за которые потом до пенсии не расплатишься...

Однако это ограничение творческой свободы, поставленное перед модулями Явы, определяет жесткие рамки их применимости для решения разных компьютерных задач. Если явским программам запрещено писать на диск - это значит, что они вообще непригодны для выполнения многих самых элементарных и необходимых функций по обработке и хранению данных. Поэтому сторонники технологии ActiveX не без оснований замечают, что высокая степень безопасности явских программ равнозначна признанию их практической бесполезности. Если явским программам суждено работать в полный рост, говорили еще год назад сторонники ActiveX, то с них придется снять колодки и разрешить им все то, что было изначально отсечено конвенциями явской безопасности...

Механизм защиты, придуманный разработчиками Явы, может вызывать сколь угодно много нареканий - в том числе, совершенно законных и справедливых. Но альтернатива, придуманная создателями ActiveX, тоже не выглядит ни надежной, ни практичной. По замыслу Microsoft, каждая программа, созданная на основе технологии ActiveX, должна включать электронную подпись создателя - Authenticode. Перед тем, как запускать полученный из Сети модуль, пользователь компьютера должен ознакомиться с "метрикой" программы и решить, стоит ли гонять на своей персоналке этот продукт. Решить - основываясь, наверное, на чисто подкожной интуиции...

Такой способ перекладывания ответственности напоминает старинную карикатуру Адамса: на американских горках вагон подъезжает к крайней верхней точке, а там уже висит щит с извещением "Строительные работы. Следуйте дальше на ваш собственный страх и риск".

Проблема, однако, заключается в том, что два способа защиты предложено, а третьего пока не дано. Один вариант - вообще отказаться от использования действенных программных средств, во избежание неприятностей (Ява), а другой - подсунуть пользователю в интересный момент расписку: ты знал, брат, на что идешь... Пеняй на себя (ActiveX).

Ни тот, ни другой способ не выглядит оптимальным с точки зрения безопасности. Но это - то, что есть. И, конечно, обозреватель, приглашенный судить, какой путь надежнее, оказывается в идиотском положении. Оба - хуже. Обе модели безопасности работают до первого хакера. В ночной рубашке, или без таковой - вас все равно отымеют.

Вся эта ситуация дает, конечно, великое множество причин посетовать, покритиковать и вывести на чистую воду. Но меня в ней более всего смущает одно: ни на платформе безопасно-безногой Явы, ни на базе отчаянно рисковых ActiveX до сих пор в Интернете не возникло ничего такого - хотя бы просто в порядке демонстрации - что заставило бы меня ощутить пришествие новой эры в информационных технологиях. Насколько пока можно видеть, речь идет о разных дырявых, ущербных и сырых платформах, на основе которых вот уже третий год обещают нам грандиозные свершения, а практический выход всех этих разговоров можно в лучшем случае назвать разочаровывающим.

Вполне понятно стремление разработчиков обеих платформ окупить свои многомилионные затраты и сделать созданные ими технологии рычагом для завоевания ключевых позиций на мировом интернетовском рынке. Понятно также, что отложить широкое внедрение этих технологий, покуда не решены все проблемы в области компьютерной безопасности, было бы в высшей степени неудобно разработчикам.

Возникнут ли серьезные проблемы с безопасностью в связи с выходом модулей Явы и ActiveX в широкую сеть - зависит от того, где и как эти модули будут применяться. Угроза каждому отдельно взятому компьютеру от использования рискованных технологий впредь, как и прежде, будет определяться готовностью каждого отдельно взятого пользователя рисковать, верить или не верить в надежность тех или иных продуктов.

Короче говоря, дырки были, есть, и будут. Чем быстрее будет развиваться рынок технологий, тем больше дырок будет попадаться нам в свежих программных продуктах. Неизвестно еще, кем и как активно эти дырки будут эксплуатироваться. Поэтому мое личное ощущение - что ничего, по сути дела, не изменится, несмотря на засилье ненадежных и сырых технологий, рвущихся сегодня в Сеть. Никто не бросится завтра тереть нам диски и красть кредитную информацию просто потому, что ActiveX стал чаще попадаться на домашних страницах. В самом худшем случае застопорится внедрение самих этих технологий.

Заметка сто пятая НЕМЕДЛЕННАЯ УГРОЗА

Заметка сто пятая
НЕМЕДЛЕННАЯ УГРОЗА