واضح آرشیو وب فارسی:سایت ریسک: Babak_King05-12-2005, 12:08 PMمهندسان نرمافزاري كه ماه جاري در كنفرانس سالانهي Windows Hardware Engineering شركت مايكروسافت شركت ميكنند براي نخستين بار شاهد يك مدل جديد حق دسترسيهاي كاربري ويندوز خواهند بود، مدلي كه ميتواند راه و روشي را كه هزاران برنامه به وسيلهي آن توسعه و اجرا شدهاند تغيير دهد. اما همچنان كه شركت براي مراحل نهايي توسعه Longhorn مهيا ميشود، سوالاتي در مورد طرحهاي آن براي يك مدل جديد مجوزهاي كاربري تحت عنوان Least-Privilege User Account يا LUA بر جاي مانده است. مايكروسافت مدعي است كه LUA با دسترسي محدود شده به حق دسترسيهاي مدير سيستم ويندوز عرصه را بر هكرها و نويسندگان ويروس تنگ خواهد نمود. اما شركت طي ماههاي اخير در مورد برنامههاي خود براي پيادهسازي LUA در Longhorn سكوت اختيار كرده است، و انگيزههايي را براي پيشبرد پذيرش LUA (كه به صورت "Loo-ah" تلفظ ميشود) توسط ISV هاي (فروشندگان مستقل نرمافزار) دو دل، شامل يك برنامه لوگوي جديد براي پذيرش LUA، مد نظر قرار داده است. حق دسترسيهاي حداقل، يك اصل امنيت كامپيوتري است كه توصيه مينمايد بر روي يك سيستمعامل به برنامههاي نرمافزاري و كاربران آنها مجوزهايي بيش از آنچه كه كاملا مورد نياز است داده نشود. حق دسترسي حداقل كه به شكلي وسيع در جامعه توسعه نرمافزار پذيرفته شده است، در سالهاي اخير غالبا مورد چشمپوشي قرار گرفته است، چرا كه شركتهاي توليدكننده سيستمعامل و نرمافزارهاي كاربردي در جهت ايجاد تسهيل در استفاده از نرمافزار تلاش نمودهاند، اين گفته John Pescatore قائممقام مديرعامل شركت Gartner در امور امنيت اينترنت است. مايكروسافت اعلام كرده است استفاده از حق دسترسيهاي حداقل را در Longhorn با سادهتر نمودن انجام كارهاي معمول توسط كاربران بدون نياز به مجوزهاي مدير ترويج نموده است. براي مثال، شركت احتمالا ويندوز را به گونهاي تغيير داده است كه كاربران داراي حق دسترسيهاي كاهش يافته توانايي تغيير تنظيمات مديريت نمايش و انرژي را بر روي سيستمهاي خود داشته باشند و از --- (شبكه مجازي خصوصي) راحتتر استفاده نمايند. ساير تغييرات به توسعهگران امكان ايجاد نصبهاي مختص هر كاربر از برنامههاي كاربردي را خواهد داد، با تنظيمات خاص هر كاربر كه در فولدر "my programs" ذخيره ميگردد، به جاي يك دايركتوري program files كه به صورت عمومي قابل دسترسي است و نيازمند حق دسترسيهاي مدير براي تغييرات ميباشد. مايكروسافت همچنين امتيازنامههاي برنامههاي كاربردي را پيشنهاد داده است، كه به توسعهگران امكان تعريف حق دسترسيهايي كه يك برنامه براي كاركرد درست نيازمند آن هست را ميدهد، و ميتوانند توسط ISVها براي تضمين بينقصيشان امضا گردند. امتيازنامههاي گسترش، امضا شده توسط دپارتمانهاي IT، به مديران شبكه امكان ديكته كردن ميزان دسترسي يك برنامه كاربردي را بر روي شبكه خواهد داد. اين تغييرات در جهت احياي يك اصل مهم امنيتي كه اولويت آن در ميان بسياري از كاربران و توسعهگران برنامههاي كاربردي ويندوز كاهش يافته بود صورت پذيرفتهاند. Jason Rimmer، معمار ارشد شركت Vertex (يك شركت توسعه برنامههاي كاربردي وب واقع در تگزاس)، ميگويد: "من فكر نميكنم نظريه حق دسترسيهاي زمان اجراي برنامههاي كاربردي خوب درك شده باشد يا خوب به كار برده شده باشد. در يونيكس شما عادت به پرسش "آيا اين تحت ريشه اجرا ميگردد؟" داشتيد، اما كاربران ويندوز هرگز نيازي به مد نظر قرار دادن آن نداشتهاند. LUA اين گزينه را بر مردم تحميل خواهد نمود." براي مثال، برنامههاي ويندوز معمولا فايلهاي خاص هر كاربر را در نواحي حياتي سيستمعامل، نظير دايركتوري program files يا بخشهاي حفاظت شده رجيستري ويندوز، كه اطلاعات پيكربندي را نگهداري مينمايد ذخيره ميسازد، اين مطلب نوشته Keith Brown، از موسسين Pluralsight، در يك سند MSDN در مورد LUA مورخ آوريل 2004 است. توسعهگران برنامههاي كاربردي كه به عنوان مدير به ماشينهاي توسعه خود وارد ميگردند، در هنگام نوشتن كد، برنامههايي را ايجاد ميكنند كه همان سطح از مجوز را كسب مينمايند، اما در هنگام اجرا شدن توسط كاربر با حقوق دسترسي پايين مشكلاتي ايجاد ميگردد، اين گفته Brown است، كسي كه پيشبيني مينمايد 90 درصد از نرمافزارهاي ويندوز نميتوانند بدون حق دسترسي مدير بر روي ويندوز نصب گردند، و 70 درصد به درستي كار نخواهند كرد مگر آن كه كاربر يك مدير سيستم باشد. (به اين آدرس مراجعه كنيد: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnlong/html/leastprivlh.asp) مديران شبكه مجوزهاي كاربري سختگيرانهاي را بر روي شبكهها اعمال مينمايند و دسترسي به سرورها و ساير منابع را محدود ميسازند، اما كاربران شخصي ويندوز غالبا به سيستم ويندوز خود به عنوان يك مدير محلي وارد ميگردند زيرا اجراي حتي برنامههاي معمولي با حق دسترسيهاي كاربري، كاري دشوار است. خالقان ويروسها، كرمها، bot ها و spyware از اين مجوزهاي بالا براي نصب برنامههاي آلوده و تغيير پيكربندي ويندوز براي محافظت از ساختههاي خود در برابر كشف شدن، بسته شدن يا پاك شدن بهره ميبرند. يك مدل اعمال شده سختگيرانه LUA ميتواند كار نفوذ كرمها و ويروسها به سيستمهاي ويندوز را دشوارتر نمايد. اما متخصصان هشدار ميدهند كه مايكروسافت احتمالا مقطع زماني دشواري را براي تغيير رفتار كاربران و توسعهگران در پيش خواهد داشت، حتي با وجود مشخصههاي جديدي كه سيستم LUA را در Longhorn پشتيباني مينمايند. Brian Bergin، رييس شركت Terabyte Computers واقع در كاروليناي شمالي، ميگويد: "چارچوب LUA كه ما در مورد آن بحث ميكنيم براي مدت 10 سال وجود داشته است. ... واقعيت اين است كه فروشندگان مسير تنبلي و سستي را طي كرده و به رها ساختن تنظيمات برنامهها در دايركتوري program files ادامه ميدهند. فروشندگان نرمافزار، شامل مايكروسافت، ناچارند نوشتن كد ضعيف و سست را متوقف سازند." براي ترغيب نمودن پذيرش اصول و مشخصههاي LUA، مايكروسافت همكاريهاي تنگاتنگي را با شركت Macrovision به منظور توسعه نصب برنامههاي كاربردي و راهاندازي برنامهها براي استفاده در Longhorn كه مفاهيم LUA را در بر ميگيرند داشته است، اين گفته Bob Corrigan مدير توليد محصول InstallShield در Macrovision ميباشد. نصبها يك نقطه پر زحمت براي LUA در ويندوز هستند، زيرا آنها نيازمند نوشته شدن فايلها در نواحي مختلفي از سيستم فايل ويندوز و تغييرات پيكربندي در رجيستري ويندوز كه غالبا براي اكانتهاي كاربري عادي غير قابل دسترسي هستند، ميباشند. Corrigan ميگويد: "ورود LUA شركتها و ISV ها را وادار ميسازد نگاه دقيقتري به كاري كه برنامههاي كاربردي در مكان نصب شده انجام ميدهند، داشته باشند." او ميگويد، Macrovision اميدوار است برخي از پيچيدگيهاي LUA را در برنامههاي كاربردي تسهيل نمايد. براي مثال، نسخههاي آينده InstallShield به ISV ها امكان ايجاد نصب برنامههاي كاربردي و برنامههاي راهاندازيي را ميدهد كه كاركردهاي كاربر و مدير را از يكديگر تفكيك ميكنند، بنابراين كاربران مجبور نيستند براي نصب برخي نرمافزارها داراي دسترسي مديريتي باشند و حق دسترسيهاي سطح مديريتي به صورت سهوي به غير مديران اعطا نميگردد. Corrigan ميگويد، اين يك تحول در روتين فعلي نصب ويندوز است كه نوعا كامپوننتهاي معمولي و مديريتي را در طي نصب با يكديگر در هم ميآميزد، بدون آن كه هيچ تمايز آشكاري ميان آنها ايجاد نمايد. بر طبق گفته او، مايكروسافت همچنين يك برنامه لوگو را مد نظر دارد كه بيشباهت به برنامه لوگوي ويندوز نيست، و وضعيت خاصي را براي برنامههاي كاربردي فراهم ميآورد كه آنها را با اصول LUA سازگار ميسازد. Corrigan ميگويد: "اگر يكسري شرايط براي سازگار شدن با LUA وجود داشته باشد، يك برنامه سازگاري لوگو ميتواند آنها را در يك نقطه مهم اعمال نمايد: در هنگام ايجاد يك نصب براي فرايند گسترش." مايكروسافت از توضيح در اين مورد خودداري كرده است، اما يك منبع آگاه تاييد نموده كه شركت در حال كار بر روي يك برنامه لوگو شبيه آنچه كه Corrigan شرح داد، است. مايكروسافت دعوتهاي مكرر را براي بحث بر سر نقش LUA در نسخههاي در شرف عرضه Longhorn رد كرده است، اما اعلام نموده كه LUA را به عنوان بخشي از يك ايده كلي براي امنيت چندلايه تحت عنوان "دفاع در عمق" مخصوص عرضههاي آينده مد نظر قرار داده است، اين مطلبي است كه در يك ايميل منتسب به Amy Roberts، مدير Security Business and Technology Unit شركت مايكروسافت، آمده بود. بر طبق گفته Rimmer ، مايكروسافت به صورت محرمانه طرح گستردهاي از برنامههاي LUA خود را بهISVها ارائه داده است، البته با جزييات اندك. او ميگويد: "ايده كلي معماري حق دسترسي حداقل براي مدت كوتاهي قابل دسترسي بود، از اين رو من به جستجوي اطلاعات غني در مايكروسافت پرداختم. ... من به دنبال اطلاعات بيشتر در مورد قيود امنيتي واقعي كه براي هر سطح مجوز در نظر گرفته شده است هستم – مانند ‘كاربران ميتوانند ساير كاربران را بيافزايند يا به نصب نرمافزار بپردازند يا اطلاعات كارآيي را دريافت نمايند’." كمبود اطلاعات در ماههاي اخير به حدس و گمانهايي منتهي گرديده است مبني بر اين كه همچنانكه تيم توسعه Longhorn خود را براي ايجاد يك نسخه آلفا از اين محصول مهيا ميسازد برخي كامپوننتهاي اصلي LUA مورد تجديد نظر قرار گرفتهاند. Cooper ميگويد: "مايكروسافت بازخوردهايي را از مشتريان عمده خود دريافت ميدارد و در تلاش است راه مناسبي را براي جاي دادن آن در كامپوننتي كه درون محصول تعبيه شده، بيابد." بر اساس گفتههاي Pescatore، برخي جنبههاي LUA همچنين احتمالا به سيستمفايل نسل جديد ويندوز مرتبط ميگردد، سيستمي كه بنابر اعلام مايكروسافت (در ماه آگوست) به همراه اولين نسخه Longhorn در پايان سال 2006 عرضه نخواهد شد. در هر صورت، LUA براي بسياري از توسعهگران برنامههاي كاربردي يك تغيير عمده خواهد بود، و مايكروسافت بايد زمينههاي اين تغيير را فراهم سازد. Pescatore ميگويد: "آنها ناچارند همين حالا تكليف آن را روشن نمايند و تا يك سال و نيم ديگر در اختيار ISV ها قرار دهند. اگر شما SP2 ويندوز XP و فايروال كه به صورت پيشفرض فعال گرديده را در نظر بگيريد، آنها اين كار را يك سال قبلتر انجام دادند، و اعتراضهاي فراواني را از ISV ها شنيدند." از نظر Rimmer، شركت همچنين بايدISV ها را متقاعد سازد كه پذيرفتن LUA به عنوان بخشي از يك برنامه لوگو اولويتي است كه ارزش تلاش توسعهاي اضافي را دارد. او ميگويد: "LUA تغييري است كه ارزش برابري را برايISV ها ندارد، بنابراين شما با مقاومت مواجه خواهيد شد." همچنان، Rimmer نظر مثبتي در مورد مايكروسافت دارد، حتي با اين وجود كه هنوز سوالاتي در مورد طرحهاي خاص شركت وجود دارد. Rimmer با اشاره به پيادهسازي LDAP (Lightweight Directory Access Protocol) توسط مايكروسافت ميگويد: "مايكروسافت افراد بسيار باهوشي را به خدمت ميگيرد و اين يك شالودi معماري است كه اكنون وجود دارد. آنها در صدد توسعه آن براي پلاتفرمشان هستند، مشابه همان كاري كه در مورد active directory انجام دادند." به نظر Pescatore، شركت همچنين امكان استفاده از مشخصهها و رابطهاي كاربرپسند خود را در LUA دارد، امكاني كه ميتواند يك پيشرفت عظيم در قياس با پلاتفرمهايي همچون Trusted Solaris متعلق به شركت Sun Microsystems محسوب گردد. او ميگويد: "آنها بسيار پيچيده هستند، هيچ كس نميتواند از آنها استفاده كند. آنها نيازمند اين هستند كه هر كاربر يك متخصص امنيت باشد. اما اگر كار مايكروسافت را مد نظر قرار دهيد، آن به دنبال به وجود آوردن راههايي كه امنيت را تامين نمايند نيست، بلكه به دنبال ايجاد راههايي براي تسهيل در پيادهسازي امنيت از سوي مديران امنيتي ميباشد." سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود
این صفحه را در گوگل محبوب کنید
[ارسال شده از: سایت ریسک]
[مشاهده در: www.ri3k.eu]
[تعداد بازديد از اين مطلب: 323]