Google和微軟的在線程序引出安全問題

隨著本周早些時候Google托管應用程序包的發布和微軟Office Live beta測試的進行，在線應用程序已經做好了挑戰19世紀80年代以來一直處於主導地位的桌面計算模式的准備。

但是與傳統桌面環境相似，網絡應用程序也具有安全問題。根據SANS研究院最新的@RISK風險公告，上周有超過60個新的網絡應用程序安全隱患被發現。相比之下，上周在Windows中發現的安全隱患有2個，Mac OS為2個，Linux有3個，IE有2個，第三方Windows應用程序有9個，跨平台應用程序中有16個。

SANS研究院的計算機安全組織研究主任Alan Paller說："與其它應用程序相比，網絡應用程序代碼很容易不夠嚴謹。"但是他評價說Google的代碼檢查過程可能比其它在線應用的平均水平更加嚴格。在上面的風險公告所列的程序中並沒有Google的應用程序。

Google的副總工程師Douglas Merrill承認，網絡應用程序的編寫方法不如桌面程序的編程模式成熟。他說："每次你掌握一項新的技術，都會伴隨著更多的問題。"

但是Merrill說，SANS研究院的數字並不能准確地表示同類間的比較結果，因為它們並沒有考慮這些軟件已經發布後的時間。他解釋說："某種軟件已經出現了一段時間就意味著你應該不會再找出和新軟件同樣多的漏洞，因為你已經發現了所有早期的漏洞。"

Merrill強調，為了保護它的用戶和保證它的知識產權與內部系統（Google的"秘方"）的安全，，Google對安全問題非常重視。與由一個集中的安全小組在代碼發布前進行檢查不同，Google所使用的是Merrill描述的一種分布式系統，它鼓勵每一位工程師都參與到使程序更加安全的工作中來。這意味著對每一位軟件工程師和問答工程師進行培訓以使他們尋找潛在的安全問題並實踐安全的代碼編寫，以及使用可以避免一般安全問題的公共庫。這還意味著一段代碼不管在何時被登記都會有另一位工程師進行檢查，而在設計、實現和發布的時候都還會有更多輪次的檢查。

Merrill說："公司中的每一個人都感覺有責任構建安全的產品，因為每天我們的用戶才是最重要的，為用戶提供良好的安全保證是值得的。"很多公司也作出了類似的闡述。但是與其它很多網絡程序不同，Google有實踐它所宣傳內容的實力。

微軟公司也具有相當的實力，並且在2002年後已經開始致力於提高它的應用程序的安全性能。微軟公司近期招募了許多與安全領域有關的雇員。本月早些時候，它任命McAfee的原病毒研究者Vincent Gullotto為微軟的安全研究與應對部門總經理。

當然，商業人士對於安全問題的擔心並不比軟件商小。Google的企業產品領導Matt Glotzbach說，他所在的組內人們定期與商業客戶討論安全問題。

一些公司的IT執行官似乎已經了解到Google所說的在線應用程序並不一定不如桌面程序安全。Burlington Coat工廠的IT零售副經理Brad Friedman在超過360個零售點使用的是Star/Open Office，他說盡管降低風險的方法有所不同，基於網絡的應用程序的安全問題與桌面程序是相似的。

"我考慮使用一個類似Google Writely的網絡應用程序和使用微軟Word的可能是一樣的，"Friedman在e-mail中寫道。"關鍵的是它們都需要一定的外圍安全保護層次以使得該應用程序不易受到攻擊。"

作為例子，Friedman說，在桌面環境中微軟的Word可以執行宏。"作為安全措施你可以把宏關閉，但是更為謹慎的做法則是使用桌面端的防病毒軟件。"他寫道，"如果病毒越過了桌面端，那麼企業級的防護則是應該執行的下一個層次。對於基於網絡的應用程序，情形是一樣的，變化只可能是它具有不同級別的暴露程度，這是我們應該考慮到的。"

像Priceline.com企業系統主管Kevin Jaffe等的其它人盡管承認軟件作為服務的模式代表了未來的發展趨向，卻仍采用了更為謹慎的態度。他說："我們的文化從一開始就是先讓別人第一個嘗試。"

對於網絡應用程序，Jaffe說："每個人受危險的影響程度是不同的，我們並不很關心一些微軟應用程序中可能存在的某些易受攻擊的問題，因為我們的公司有三到四個層次的安全保障體系，這一安全體系是很難被突破的。"

Jaffe還相信，網絡應用程序可能更易受到攻擊，因為這並不需要專業的、專門針對某一程序的知識。他說："當你開始與基於網絡的應用程序打交道時，你已經降低了一般黑客的標准。"

盡管沒有絕對安全的東西，公司必須自己決定在線應用程序可能帶來的好處是否超過了它們的危險。

"網絡應用程序的好處是對它們打補丁容易得多，"Merril說，"當一個問題被發現的時候，試著去修復它從不是小事。但是對一個服務器打補丁比給分布在各個網絡中的大量客戶打補丁要簡單得多。"

Paller對此表示同意。"一個非常大的好處是，補丁過程是實時進行的，"他說，"而我們中的大多數卻並沒有這樣做。"由於打補丁是非常繁重的工作，他相信很多組織將考慮完全拋棄PC桌面而轉向通過小型客戶端執行的應用程序。他以Citrix System的網絡應用程序發送平台為例說："安全工作者們似乎很支持它。"

Jaffe承認，在線補丁管理的易操作性對於像他所在的已經有合適的補丁管理系統的公司而言並不那樣重要。盡管如此，他還是相信在線應用程序代表了未來的發展趨勢。"我們認為該方向一定會作為一個產業繼續發展，因為對它進行技術支持更加容易。"他說，"在性能方面，很多業內人士都在致力於將其恢復到桌面上的終端類型安裝。"

這可能解釋了為何上周微軟與Citrix進一步發展了它們現有的合作伙伴關系並公布了一項新的聯合市場與發展計劃。

這並不是說在線應用程序是安全計算的保證。隨著軟件作為服務的模式的流行，也會產生很多問題。Paller預計與利用這些應用程序本身的漏洞相比，試圖利用在線應用程序協議對網絡應用程序進行的攻擊將會增加，這樣的攻擊通過監視從網絡應用程序向基於浏覽器的客戶端傳輸的數據實現。

但是，由於桌面應用模式相比之下確實並不具有優勢而相反在某些方面可能更糟糕，Paller預計企業將最終克服它們對於托管軟件所持的保留態度。他說："對安全的追求將促使人們轉向集中化的應用程序。"

============================================================

原文鏈接：？articleID=192500179&subSection=Servers

原文作者：Thomas Claburn