微软称Silverlight不易受到最常见的攻击

微软(Microsoft Corp.)即将推出的网络媒体软件Silverlight可能离正式发布还有几个月的时间,但专家们已经就其安全性达成了共识,尽管这是一个薄弱环节。

这种共识支持微软的观点,即该软件不容易被黑客利用。微软表示,Silverlight是一款与internetexplorer、Firefox和Safari配合使用的浏览器插件,它具有防止Silverlight遭受此类攻击的关键属性。

但他们警告称,当前的攻击趋势可能会很快揭示Silverlight的漏洞,如果有的话。黑客正从操作系统层转向攻击基于Web的应用程序。此外,长期以来攻击者以微软产品为攻击目标的趋势将对软件进行严格测试。

“现在还很早,”Ovum有限公司的分析师Bola Rotibi说,“但证据就在布丁里。”

时间就是一切

Silverlight预计将在今年夏天某个时候发布,而此时Web开发人员正因其构建的网站的不安全性而受到攻击。

例如,著名的雅虎开发者拉斯穆斯勒多夫(rasmuslerdorf)上周声称,十分之九的网站是可以被黑客攻击的,这个问题导致他总是使用两个不同的浏览器上网。

大多数批评都是针对异步JavaScript和XML(AJAX),这是一种流行的富媒体支持技术,以及它对一种称为跨站点脚本(XSS)的攻击形式的脆弱性。

但其他消费类网络应用程序,包括苹果公司(Apple Inc.)的QuickTime、微软(Microsoft)的Windows Media Player和Adobe系统公司(Adobe Systems Inc.)的Flash——微软希望用Silverlight取代Flash——也被证明是易受攻击的。

沙箱的安全

微软表示,Silverlight利用了Web浏览器中的技术以及微软的.Net编程框架,使Silverlight尽可能安全。”我们已经锁定了它,”微软网络平台和工具团队的首席产品经理Brian Goldfarb说。

例如,Silverlight插件在Web浏览器的虚拟“沙盒”中执行。Goldfarb说,这意味着即使恶意软件或黑客能够破解Silverlight,只要Web浏览器的沙盒是完全安全的,他或她也不能跳转到其他应用程序或服务器。

Ovum的Rotibi同意:“浏览器内部的沙盒是一个常见且被广泛理解的概念,如果浏览器技术没有缺陷,那么它应该是相对安全的。”。

此外,Silverlight是微软.Net技术的扩展,Goldfarb声称该技术“具有可靠的安全记录”

Goldfarb说,这部分是由于.Net使用了一种称为托管代码的技术,这意味着程序在虚拟机内执行,永远不会与计算机的“裸机”接触。这消除了常见的黑客攻击策略,例如造成缓冲区溢出。

因为它是.Net的扩展,Silverlight应该避免第一代产品常见的一些错误。”这是一个新产品,也不是一个新产品,”戈德法布说。

最后,Goldfarb说,虽然Silverlight确实与JavaScript交互,而JavaScript是已知易受XSS攻击的AJAX组件,但它本身不应该易受XSS攻击。

缺点是。。。

总部位于马萨诸塞州剑桥的Forrester Research Inc.的分析师杰弗里•哈蒙德(Jeffrey Hammond)主要收购微软的资产。他说,缺点是开发人员在Silverlight上创建应用程序。根据Goldfarb的说法,即使微软已经“投入了大量精力”教育开发人员如何避免编写不安全的代码,这种情况仍然会发生。

哈蒙德说:“开发人员并不打算制造缺陷或漏洞,但即使是我们中最优秀的人也会遇到这种情况。”无论如何,我相信我们会看到一个快速的洗牌期。”

NPD集团公司的分析师chrisswenson认为,Silverlight和Flash的缺陷至少比AJAX的缺陷修补得更快,AJAX缺乏一家大型供应商的支持。

“微软和Adobe将迅速采取行动填补漏洞,”他说与AJAX相比,Silverlight必须是安全的。”

当去年在Flash中发现安全漏洞时,微软实际上和Adobe差不多在同一时间发布了Flash补丁。

另一方面,总部位于圣何塞的White Hat Security Inc.的首席技术官杰里米•格罗斯曼(Jeremiah Grossman)对黑帽黑客的独创性比对微软更有信心。

“所有这些安全措施都很好,”他说,“不幸的是,它们不太可能保护用户免受新的攻击技术的攻击。”