Página Inicial



twitter

Facebook

  Notícia
|

 

CINCO LIÇÕES QUE O OFFICE 2010 APRENDEU SOBRE A QUESTÃO DA SEGURANÇA

09/12/2009 01:00:00

office2010-main150.jpgO fato de - como sempre - a nova versão da suíte de escritórios da Microsoft vir recheada de ferramentas a torna um alvo e  tanto para malwares e outras ameaças à segurança do PC e dos dados dos usuários. E é bem pouco provável que a Microsoft algum dia mude esse cenário, diminuindo a quantidade de ferramentas em nome da segurança dos usuários.

Em vez disso, os desenvolvedores do Office 2010 adotaram uma abordagem diferente para lidar com a questão da segurança na suíte: estudaram vulnerabilidades anteriores para entender o que poderia ser modificado no produto para evitar brechas futuras.
 
Inputs dos usuários
Todo bom programador sabe que a validação dos dados fornecidos pelos usuários em uma aplicação é crucial. Input não verificado pode levar a sobrecarga do sistema, ataques com injeção de códigos e outras falhas de software.

O problema é que, na maior parte das vezes, o que se faz é validar apenas campos de formulários, caixas de digitação de texto e outros elementos da interface do usuário. E o que dizer sobre os documentos?

O Office 2010 evita problemas de segurança indesejados ao validar previamente arquivos em uma biblioteca de documentos com qualidade conhecida ? boa e ruim.

A ideia por trás disso é tornar o aplicativo capaz de reconhecer certos tipos de documentos e que adquira medidas de controle de segurança pró-ativo, antes de começar a interpretar os códigos.

Assim, pode-se, por exemplo, desabilitar macros quando for encontrado documentos que combinem com as características conhecidas de um vírus macro para Word.

Falhas por uso atípico
Problemas sérios podem atingir áreas inesperadas de um software, e por vezes basta apenas fazer uma busca para descobrí-los.

Para minimizar o impacto desse tipo de problema, o os engenheiros do Office criaram uma técnica que procura detectar antecipadamente tais eventos. Para isso, utilizam documentos conhecidos que são validados e modificados aleatoriamente.

O que se procura é fazer com que as aplicações esteja aptas a lidar com esses arquivos. Na pior das hipóteses, abrir um desses arquivos pode danificar a máquina, evidenciando a presença de um exploit de segurança.

De acordo com a Microsoft, o Office 2010 pode, com sucesso, lidar com esse tipo de documento, com 10 vezes mais eficiência que o Office 2007.

Bibliotecas de terceiros
Analisar os formatos de arquivos da própria base XML do Office é fácil. Mas na prática, os documentos do Office contêm muito mais do que apenas dados ASCII. Eles também podem conter imagens, áudio, vídeo e até mesmo objetos embedded provenientes de outros aplicações.

Os anos de testes com o Office 2007 levaram os engenheiros da Microsoft a uma conclusão inesperada: a grande maioria dos bugs críticos encontrados não eram culpa direta do Office, mas sim resultado de falhas no core do processamento de imagens das bibliotecas para renderizar arquivos JPEG, GIF, entre outros.

Para o Office 2010, a Microsoft mudou sua biblioteca de processamento de imagens para o Windows Imaging Component, baseado em codecs plugáveis. Porém, para desenvolvedores de outras aplicações serve a premissa de que até mesmo as bibliotecas mais usadas não escapam dos defeitos.

Não confie nos usuários
Muitos aplicativos utilizam um modelo de segurança que deixa as decisões nas mãos dos usuários, com perguntas do tipo: ?A ação que está prestes a tomar pode trazer um risco de segurança. Continuar mesmo assim (S/N)?? Mas o que faz de uma ação específica um risco de segurança?

O novo Office 2010 traz uma aproximação pró-ativa à segurança. O principal objetivo de processos como validação é trazer mais opções de segurança ao sistema em vez de confrontar o usuário com caixas de diálogo. Com isso, o novo pacote reduz o poder de decisão dos usuários, deixando para o sistema decidir sobre questões de vulnerabilidade.

Deixe o programa assumir a culpa
Quando antigas versões do Office encontraram riscos de segurança, os usuários tinham apenas duas opções: continuar o processo e sucumbir à ameaça; ou não abrir o arquivo de forma alguma. Mas nenhuma das opções era ideal.

O Office 2010 tenta oferecer, sempre que possível, uma alternativa. Por exemplo, se o Word 2010 encontrar um documento com macros nocivas, ele poderá abrir o arquivo com a opção macros desabilitada. O usuário ainda recebe uma mensagem de alerta, mas o arquivo será aberto mesmo assim.


 
Fonte: PcWorld

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar