《Office 2010帶給我們的五個安全教訓 - 電腦技術(shù)知識交流》由會員分享,可在線閱讀����,更多相關《Office 2010帶給我們的五個安全教訓 - 電腦技術(shù)知識交流(2頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1���、Office 2021帶給我們的五個平安教訓 - 電腦技術(shù)知識交流
Office 2021帶給我們的五個平安教訓
雖然仍然是測試版����,但Office 2021不斷的給我驚喜����。除了用戶界面更加適合于現(xiàn)實世界中的數(shù)據(jù)之外����,微軟在平安性上也做出了另一個重大改良����。最新版的Office結(jié)構(gòu)復雜���,功能豐富����,也成為了惡意軟件和其他平安隱患的目標����。由于巨大和多樣化的用戶群,微軟必須把平安考慮放在首位����,因此即使是犧牲一些現(xiàn)有功能來換取平安性也無可厚非。今年9月份曾經(jīng)有一個Office的0day���,造成了一股掛馬風����。
然而����,Office 2021的開發(fā)團隊并沒有這樣做���,他們給出了一套新的平安戰(zhàn)略,通
2����、過分析過去的漏洞來了解漏洞是如何被利用的,還要如何做才能防止今后出現(xiàn)類似的情況����。Office 2021基于五個根本準那么建立了新的多層次的平安模型,這是任何一個開發(fā)者都應該記住的:
1.在執(zhí)行之前驗證所有用戶輸入
任何一個好的程序員都知道輸入驗證是關鍵的步驟之一����,未經(jīng)驗證的文本框可能會導致緩沖區(qū)溢出、代碼注入攻擊和其他軟件缺陷����。但往往程序員只考慮到驗證表單字段、文本輸入框和其他用戶界面元素���,而忽略了對文檔進行驗證。
Office 2021通過使用文檔模式庫來預先驗證文檔����,防止了不必要的平安問題���。新的Office將能夠識別特定的文件類型,在開始解釋代碼之前實施積極的平安措施����,比
3、方在發(fā)現(xiàn)要翻開的文檔符合庫中的宏病毒的特點時會提早禁用宏功能����。編者按:宏病毒、CIH病毒���、蠕蟲病毒和木馬病毒四大類曾經(jīng)是計算機用戶的噩夢���,但到目前為止,除了CIH之外����,另外三個依然在威脅網(wǎng)民的計算機平安。
2.查找隨機缺陷和不典型使用案例
精心設計的Use cases在軟件測試時至關重要���,但即使是最好的質(zhì)量工程師也不能想到一切����,錯誤可能有時一些字節(jié)也會觸發(fā)這些bug。
Office團隊使用一種叫做“模糊文件(file fuzzing)〞的技術(shù)來查找意外的使用情況����。例如通過交換參數(shù)和改變字段內(nèi)容把文件模糊化處理,或者把隨機垃圾數(shù)據(jù)引入文件中����。
理想情況下Office應用應
4、該能夠順利處理文件����。但在最壞的情況翻開一個模糊文件會導致應用崩潰,這時可能會檢測出平安漏洞����。據(jù)微軟說Office 2021處理模糊文件的能力超過Office 2007十倍。
3.不要相信第三方庫
和其他應用一樣���,現(xiàn)實中的Office文檔不僅僅包含簡單的ASCII數(shù)據(jù)���,它們可能還包含著圖片、音頻����、視頻等等從其他應用嵌入的數(shù)據(jù)。經(jīng)過多年對Office 2007的測試���,微軟的工程師得出了出人意料的結(jié)論:他們發(fā)現(xiàn)嚴重的平安漏洞大多不是Office代碼本身的錯���,而是那些用來渲染JPEG、GIF和其他圖形的核心第三方代碼庫出現(xiàn)了問題����。
因此在Office 2021中微軟轉(zhuǎn)向了自己的圖像處
5、理庫Windows Imaging Component����。對于其他應用的開發(fā)者,這個教訓再明白不過:絕不要認為廣泛使用的第三方類庫是完美無缺的���。
4.不要把平安措施推給用戶
非常多的桌面應用喜歡使用對話框式的平安模型����,在碰到問題時詢問用戶:“你的操作可能帶來平安風險���,是否要繼續(xù)進行(Y/N)?〞這種做法不僅懶惰而且危險����,因為在缺乏任何有意義的指導下,普通用戶都會選擇“Yes〞���,即使是更詳細的警告信息也不會有什么幫助���。
Office 2021采取了積極主動的做法。文件驗證過程會在后臺進行����,而不是繼續(xù)使用對話框與用戶對抗,在用戶交互之前先進行根底并且理性的后臺決策����,增強了漏洞管理
6、
5.選擇降一級的用戶體驗����,而不是全盤否認
從前的Office遇到平安風險時用戶真正只有兩個選擇:無視威脅照常翻開文檔;或者再也不翻開文檔,這兩個都不是理想的選擇���。
Office 2021試圖通過為用戶提供一種中立的立場���。例如���,如果Word 2021碰到文檔中包含有風險的宏,它會在翻開文件時停用宏����。用戶仍然會得到一個警告消息���,但無論如何文檔被翻開了����,這時文本是可見的���,但想要使用宏需要額外確實認步驟���。
這種“一半滿足用戶〞的哲學是新Office的平安模型中最重要的理念之一,在用戶和軟件的拉鋸戰(zhàn)之間建立一個折中的局面���。通過新的漸進的多層次平安模式���,Office 2021試著與用戶建立起平安性的伙伴關系,這個教訓任何應用開發(fā)者都應該牢記在心。
編者按:在文末順便再多說一句����,雖然大局部人都認為Office沒有OpenOffice之類的免費產(chǎn)品平安,但是法國 軍方卻認為OpenOffice不比Office更平安���,而持這種意見的人還有很多����。
Office 2010帶給我們的五個安全教訓 - 電腦技術(shù)知識交流
