:கணனி
தொழில்நுட்பம்
Serious security flaws in Microsoft web browser
மைக்றோசொப்ட் இணைய மேலோடியில் ஆபத்தான பாதுகாப்பு குறைபாடுகள்
How safe is your computer?
உங்களது கணினி எவ்வளவு பாதுகாப்பான வகையில் இருக்கிறது?
By Mike Ingram
12 January 2002
Use
this version to print |
Send this link by email
| Email the author
மைக்ரோசொப்டின் இயங்கு தளத்தை (Operating
Systems) நீங்கள் பாவிப்பவராக இருந்தால், ''உங்கள் கணினி எவ்வளவு பாதுகாப்பாக இருக்கிறது''
என்ற கேள்விக்கான பதில், ''அவ்வளவு பாதுகாப்பாக இல்லை'' என்பதாகவே இருக்கும்.
அமெரிக்காவிலும் மற்றும் தற்போது ஐரோப்பாவிலும் நம்பிக்கையின்மை தொடர்பான
ஒரு சில வழக்குகளின் மையத்தில் இருக்கும் மாபெரும் மென்பெருள் (Software)
நிறுவனம் இப்போது அதனது வாடிக்கையாளர்களின் அடிப்படை பாதுகாப்புக்கு அதிகரித்தமுறையில் உறுதிப்படுத்துவதற்கு
சாத்தியமற்று இருக்கிறது. முதலில் வெளியான இயங்கு தளங்களான
Windows 98 மற்றும் 95 இல் இல்லாத பல பாதுகாப்பு அம்சங்கள் தற்போது வெளியாகியிருக்கும்
Windows XP இயங்கு தளத்தில் அறிமுகப்படுத்தியிருந்தபோதும்,
வைரஸ் பாதுகாப்பு எச்சரிக்கைகள் மற்றும் பாதுகாப்பு குறைவுகளுக்கான முன்னறிவுப்புகளை தொடர்ச்சியாக பாவனையாளர்கள்
இப்போதும் முகம்கொடுக்கினறனர்.
''ஒரே மூலக் கொள்கைள்'' ("same
origin policy") என அறியப்படும் ஒரு பாதுகாப்பு விதியை புறக்கணிப்பதன் மூலம் ஒரு ஆபத்தான
பாதுகாப்பு ஓட்டையை மைக்ரோசொப்ட் கொண்டிருக்கிறது என அண்மையில்
"The Pull" என்ற பெயரால் வழிநடத்தப்படும் ஒரு சுயாதீன ஆய்வாளர்கள் குற்றம்சாட்டியுள்ளார்கள்.
ஒரு வித்தியாசமான window (கணணித்திரை) ஒரு இணைய
மேலோடியில் திறக்கப்பட்டிருக்கும் ஒரு வலைத்தளம் (website)
இன்னொரு வலைத்தளத்தை பாதிப்பதில் இருந்து தடுப்பதற்கான குழூக்குறியை (Code-குறியீடு)
இந்த விதி வரைகிறது.
JavaScript ( ஜாவா ஸ்கிறிப்ட்)
பரந்தளவில் ஒரு scripting language
ஆக உபயோகப்படுத்தப்பட்டு வருகிறது. இது ஒரு வலைத்தளத்தை பதிவுசெய்தல், அச்சிடுதல் போன்ற பல நடவடிக்கைகளை
சுயமாக செயல்படுத்தவல்லது. இதற்குள் "document.open,"
எனப்படும் கட்டளைநிரலும் (command)
உள்ளடங்கியிருக்கிறது. இந்தக் கட்டளை நிரல், குறிப்பிட்ட பாவனையாளர்களின்
செயல்பாடுகளுக்கு பதிலாக ஒரு இரண்டாவது இணைய மேலோடி
window திறக்கப்படுவதற்கு
அனுமதிக்கும். ஒரு குறிப்பிட்ட ஆவணத்தின் அச்சுப்பிரதியை கொண்டிருக்கும் ஒரு இரண்டாவது
window திறப்பதற்குத்தான்
இந்த கட்டளை நிரல் பொதுவாக பாவிக்கப்பட்டுவருகிறது. புதிய
window திறப்பதற்காக
பயன்படுத்தப்படும் கட்டளை நிரலை அடிக்கடி உபயோகப்படுத்தும் வலைத் தளங்கள் விளம்பரங்களையும் அல்லது ஏனைய
செய்திகளையும் கொண்டிருக்கும்.
Netscape ( உலகரீதியாக முதலாவதாக
உபயோகப்படுத்தப்பட்ட இணைய மேலோடி)
இன் பொறியிலாளர்களால்
JavaScript security guide
இன் பாகமாக அபிவிருத்தி செய்யப்பட்ட
"Same origin policy"
கெடுதியான வலைத்தளங்கள் ஒன்றன் மீது ஒன்று இயங்குவதையும் மற்றும் வித்தியாசமான
windows
இல் இணைய மேலோடியால் திறக்கப்பட்டிருக்கும் இன்னொரு வலைத்தளத்தில்
இருந்து நுணுக்கமான (sensitive)
தகவல்களை எடுப்பதையும் தடுப்பதன் பாகமாகவும் ஸ்தாபிக்கப்பட்டது.
மைக்றொசொப்ட் இந்த கொள்கையை புறக்கணித்து இருப்பதாகவும், அதனது பிரசித்தி
பெற்ற 5.5, 6.0 Internet Explorer
இணைய மேலோடிகள் அப்படியான ஒரு பிரதிபண்ணும் செயல்பாட்டிற்கு அனுமதியளிக்கின்றன
என "The Pul"
பிரகடனம் செய்திருக்கிறது. இது ஒரு தாக்குதலாளரை(attacker)
ஒரு பார்வையாளரின் cookie files
இருந்து திருடுவதற்கான சாத்தியத்தைக்கொண்ட ஒரு பிரேத்தியாகமாக உருவாக்கப்பட்ட
வலைத்தளத்தினை நிறுவுவதற்கு அனுமதியளிக்கிறது. Cookies
என்பது அடிக்கடி ஒரு இணையத்திற்கு வந்துபோகும் பாவனையாளர்களை
இனம்காணுவதற்காக வலைத்தளங்களால் உபயோகப்படுத்தப்படும் ஓரிடத்தில் சேமிக்கப்பட்டிருக்கும் பதிவுகளாகும்.
பிரசித்திபெற்ற இணைய வர்த்தக வலைத்தளங்கள்,
Cookies ஆனது பாவனையாளரின் இலக்கத்தில் இருந்து இரகசியச்சொல்
மற்றும் வங்கி அட்டையின் இலக்கம் வரை அனைத்து தகவல்களையும் கொண்டிருக்கும். அத்துடன் சாத்தியமான தனிப்பட்ட
தகவல்களின் திருட்டு Cookies
இல் அடங்கியிருக்கின்றன. ஒரு நம்பிக்கை மிகுந்த சட்டரீதியான ஒரு வலைத்தளத்திற்குத்தான்
வந்திருக்கிறேன் என ஒரு பாவனையாளரை நம்பும்படி செய்வதற்கு இந்த பாதுகாப்பு குறைபாடு பாவிக்கப்படலாம்.
உதாரணமாக, அப்படியான ஒன்றான இணைய வங்கியில் ஒருவர் தனது தனிப்பட்ட தகவல்களை பதிவுசெய்துவைக்கலாம்.
நவம்பர் 8 இல் தான் இப்படியான ஒரு களவுமுறை வெளிப்படையாக அறிவிக்கப்பட்டது.
அதே நாள் "Active Scripting"
ஐ செயலிழக்கசொல்லி வாடிக்கையாளர்களுக்கு ஆலோசனைசெய்யும் ஒரு
பாதுகாப்பு அறிக்கை ஒன்றினை வெளியிடுவதற்கு மைக்ரோசொப்ட் நிர்ப்பந்தத்திற்குள்ளானது. குறிப்பிட்ட வலைத்தளங்களை
பார்ப்பதற்கான பாவனையாளர்களின் சாதமானதன்மையை தடைசெய்யும்போதும், அழிவுண்டாக்கும் வித்தியாசமான வலைத்தளத்தையும்,
மின்னஞ்சலை அடிப்படையாக கொண்டதுமான வலைத் தள பக்கங்களில் இருந்து அவர்களை அது பாதுகாக்கலாம்.
இந்த பாதுகாப்பு குறைபாடு பற்றிய செய்திக்கான மைக்ரோசொப்ற்றின் பதிலானது
நிறுவனத்தின் 'பொறுப்பின்மையை' இது அம்பலப்படுத்தியிருப்பதாக குற்றம் சாட்டுவதாக இருந்தது. நவம்பர் 8
அறிவித்தலுக்கு முன்னர் பாதுகாப்பு ஓட்டையினைப் பற்றி எதுவுமே தெரியவில்லை என மைக்ரோசொப்ட் அறிவித்தது. எப்படியிருந்தபோதும்,
நவம்பர் 19 ZDNet UK technology
வலைத்தளத்தின் கட்டுரையின் பிரகாரம், நவம்பர் முதலாம் திகதிக்கு ஒரு கிழமைக்கு
முன்னரே இக்குறைபாட்டை பற்றி எச்சரிக்கப்பட்டோம் என்பதை பின்னர் நிறுவனம் ஏற்றுக்கொண்டுள்ளது.
அந்த எச்சரிக்கையினை பூரணமாக விசாரணை செய்வதற்கு இரண்டு வாரம் முழுவதுமாக
அவசியமாக இருந்தது என மைக்ரோசொப்ட் அறிவித்ததுடன், காலதாமத்தின் விளைவாக எந்தவித பாதுகாப்பு
தாக்கமும் இடம்பெறவில்லை என அழுத்தமாக குறிப்பிட்டது.
''நாம் உடனடியாக தெளிவாக பதிலளிக்கப்போவதில்லை-- எவ்வளவு நம்பத் தகுந்த
அழிவுண்டாக்கும் எச்சரிக்கையாக இருக்கிறது என்பதை வரையறுக்க நாம் கோதுமையை உமியில் இருந்து அரித்து எடுக்கவேண்டியிருக்கிறது,''
''தவறான அபாய ஒலியை உருவாக்கும் என்பதால் இந்த விவகாரத்தை நாம் விசாரணை செய்யும் வரை, இந்த
விடயம் பற்றிய ஒரு அறிக்கையை நாம் வெளியிடப்போவதில்லை'' என
Windows உற்பத்தியின்
வியாபார மேலாளர் Neil Laver, ZDNet
இடம் குறிப்பிட்டார்.
பாதுகாப்பு
பலவீனம் பற்றி பகிரங்கமாக அறிக்கை வெளியிடுவதற்கு மட்டும்
மைக்ரோசொப்ட் தவறவில்லை மாறாக அது பாதுகாப்பு ஓட்டை பற்றி எச்சரித்தவர்கள் எவருக்கும் எந்தவித
பதிலையும் அளிக்கவில்லை என
ZDNet அறிக்கைவிட்டது.
நவம்பர் 1 இல், தான் கண்டுபிடித்த ஒரு ஆபத்தான பாதுகாப்பு தாக்கத்தை
தொழில்நுட்ப விவரத்துடன் மைக்ரோசொப்டின்
பாதுகாப்பு பதிலளிப்பு மையத்திற்கு
IT security firm Online Solutions
என்னும் நிறுவனம்
கையளித்தது. அந்த எச்சரிக்கையை மைக்ரோசொப்ட் ஏற்றுக்கொண்டதுடன்,
தான் அந்த விவகாரத்தை கூடிய விரைவில் விசாரணை செய்வதாக உறுதியளித்து ஒரு வாரத்தின் பின்னரும்
மைக்ரோசொப்டிடம் இருந்து எந்த பதிலும் வராததால்,
Online Solutions பொதுமக்களிடம் இதனைக் கொண்டுபோக
முடிவெடுத்தது.
''நாம் பொறுப்பான காரியம் செய்தோம்-- வியாபாரத்திற்காக மென்பொருளை
உபயோகப்படுத்தும் மற்றும் தனிப்பட்ட தகவல்களை அதில் வைத்திருப்பதையிட்டு நம்பிக்கயை கொண்டிருக்கும் மக்கள்,
அவை பாதுகாப்பானதாக இல்லை என்பதால் குறிப்பிட்ட நாட்களுக்கு விழிப்புடன் இருக்கவும்''
Online Solutions
இன் நிர்வாக இயக்குனர்
Jyrki Salmi
கூறினார்.
எந்த அர்த்தத்திலும் பாதுகாப்பு குறைபாடுகள் மைக்ரோசொப்ட் மென்பொருள்களுக்கு
மட்டும் மட்டுப்படுத்தப்பட்டதல்ல. பல இலட்சக்கணக்கான கணினி குழுக் குறிகளின்(computer
code) இழைகளை கொண்டிருக்கும்
Internet Explorer
போன்ற சிக்கலான பயன்பாட்டு
(applications)
குறைபாடுகளுக்கு புகழ்பெற்றவை. இவைகளில் எதுவும் பரிசோதனை செய்யும் நிலையில் கூட குறைபாடுகளை களையவில்லை.
பரந்த அளவில் ஒரு கணினி அமைப்பின் நிர்வாகிகளின் தொழில் பெரும்தொகையான எந்த அமைப்பிலும் செயல்படும்
பயன்பாட்டு
மற்றும் பயன்பாடுகளின் பாதுகாப்பு அறிவித்தல்களுக்கு பதிலளிக்கும்
மென்பொருளை நிவர்த்தி செய்யும் நிரப்பும் மென்பொருள்களை (patches)
உருவாக்குவதை கொண்டிருக்கிறது. பரந்த அளவில் மிக முக்கியமான பாதுகாப்பு குறைபாடுகள் ஆபத்தான பிரச்சனைகளை
விளைவாக்காத படியும், கூடிய விரைவில் சிக்கலான விடயங்களுக்கும் மென்பெருளை அபிவிருத்தி செய்பவர்கள் விரைவாக
பதிலளிக்கவேண்டும். மைக்ரோசொப்ட் உடனான விவகாரமானது அதனது அனைத்து
programmes உம்
குறைபாடுகளை கொண்டிருக்கின்றன என்பதல்ல மாறாக ஏற்றுக்கொள்ளக் கூடிய காலத்திற்குள் நிவர்த்தி செய்வதை அது
தவறிவிட்டது என்பதாகும். அத்துடன் அறியப்பட்ட
பலவீனங்களை, குறைந்தபட்சம் அண்மைய பிரச்சனையான
Active Scripting
ஐ செயலிழக்க செய்தலான எங்கும் கிடைக்கும் ஒரு சாதாரண காரியத்தைக்
கூட அதனது மென்பொருளின் பாவனையாளர்களுக்கு தெரியப்படுத்தவில்லை.
அப்படி ஒரு அறிவித்தலை தாம் வெளியிட்டிருந்தால் கெடுநோக்கமுள்ள தாக்குதலாளர்களை
(hackers)
அந்த பலகீனங்களை இட்டு அது விழிப்படைய வைத்திருக்கும் மற்றும் பாவனையாளர் பாதுகாப்புடன் மேலும் நிவர்த்தி செய்ய
வைத்திருக்கும் என மைக்ரோசொப்ட் கூறுகிறது. எதிரான பகிரங்கப்படுத்தலை தவிர்ப்பதற்கும், ஒரு கடினநிலையை
சாதாரணமாக விடுவதையுமே நிறுவனம் எதிர்பார்த்தது என்பதுதான் அதிகமாக ஏற்றுக்கொள்ளக்கூடியதாக இருக்கும்
ஒரு விளக்கமாகும்.
மைக்ரோசொப்ட்டுக்கு எதிரான ஏகபோக எதிர்ப்பு வழக்கு
அதனது ஏகபோக அத்துமீறலுக்காக மைக்ரோசொப்ட் நஸ்டஈடு செலுத்துவதற்கான
பாதையை கண்டுபிடிக்க ஐக்கிய அமெரிக்க நீதிமன்றங்கள் முயற்சித்தது. மற்றும் முதலில் ஒன்பது மாநிலங்கள் இந்த வழக்கில்
ஈடுபட்டதுடன் முன்வைக்கப்பட்ட தீர்வை தொடர்ச்சியாக நிராகரித்தன. நீதிபதி
Judge Jackson ஆலோசனை செய்ததுபோல், நிறுவனத்தின் பாதுகாப்பு தோல்விகள் சந்தேகமற்ற
முறையில் மாபெரும் மென்பெருள் நிறுவனம் இன்னும் நொருங்கிவிடவில்லை என்ற அனுதாபங்களை பொங்கியெழவைக்கும்.
இவ்வழக்கு அதனது இணைய
மேலோடி சந்தையில் முன்னணி வகிப்பதற்காக desktop செயற்பாடு
பொறியமைவு இயங்கு தளத்தில் (desktop operating
systems) மைக்ரோசொப்ட் எப்படி தனது ஏகபோகத்தை பயன்படுத்தியது என்பதே அறியப்பட்ட முதல்
வழக்கு விசாரணையாகும். ஒரு பரந்த பாவனையாளர்களை அடிப்படையாக கொண்டிருக்கும் போட்டியாளரான
Netscape இணைய மேலோடி,
Windows இற்கு அபிவிருத்தி செய்யப்படும் பாவனைகளுக்கு
ஒரு மாற்றீடு மேடையாக வந்துவிடுவதில் இருந்து தடுப்தையே மைக்ரோசொப்ட் கவனம் கொண்டிருந்தது.
Netscape Navigator ஐ விட
Internet Explorer மிக அற்புதமான உற்பத்தி
என்பதாலே அது வெற்றிபெற்றது என வழக்கு விசாரணையின் போது மைக்ரோசொப்ட் வலியுறுத்தியது. உண்மையில்,
விரிந்த உலக வலையத்தின் விரைவான பிரசித்தியின் ஊடாகவே மைக்ரோசொப்ட் அறியப்பட்டதுடன்,
Netscape இடம் இருந்து பின்னணியை வெற்றிகொள்ளும் முயற்சியில்
இலவசமாக கொடுக்கப்பட்டதன் காரணமாகவே Internet
Explorer தீடீரென்று இடத்தைப் பிடித்துக்கொண்டது.
நீதிபதி Jackson இன்
ஆலோசனைகளின் அடிப்படை மறுப்பானது மைக்ரோசொப்ட்டில் ஏனைய கட்டுப்பாடுகளுக்கு அழைப்புவிடவும்,
மென்பெருளின் முக்கியமான செயல்பாடுகளை வரையறை செய்யும்
Internet Explorer இன் மூல வரைவு (source
code) இனை கிடைக்கும்படி உருவாக்கவேண்டும் என கோரிக்கை எழுப்பவும் தள்ளியுள்ளது.
தங்களின் தொழில்நுட்ப மேன்மையால் தான் தமது உற்பத்திகள் பரவலாக பாவிக்கப்படுகிறது
என விவாதிப்பதன் மூலம் தனது ஏகபோக நிலையை மைக்ரோசொப்ட் தொடக்கத்தில் நியாயப்படுத்த முனைந்தது. எப்படியிருந்தபோதும்,
''Open Source software" (திறந்த மூல
மென்பொருள்) இன் வளர்ச்சியும் மற்றும் குறிப்பாக இலவசமாக பாவிக்கக்கூடியதாக இருக்கும்
Linux இயங்குதளத்தில் மென்பொருள்கள் செயல்படுவதும்
மைக்ரோசொப்டின் திசையில் ஒரு மாற்றத்தை
உருவாக்கியுள்ளது. Guardian Online குறிப்பிட்டதன்படி,
''அது தொழில்நுட்பத்தை அடிப்படையாகக் கொண்ட தனது விவாதங்களை கைவிட்டதுடன், பார்ப்பதற்கு அதிகரித்த
அவநம்பிக்கையுடன் புத்திஜீவித சொத்தின் பக்கம் (intellectual
property) திரும்பியுள்ளது.
''அது தொடும் அனைத்திலும் ஒரு புத்திஜீவித சொத்துரிமை அடித்தளத்தில் தன்னை இணைத்துக்கொள்ளும்
Linux ஒரு புற்றுநோயாக இருக்கிறது'' என
மைக்ரோசொப்டின் தலைமை நிறைவேற்று அதிகாரி Steve
Ballmer குறிப்பிட்டதை பத்திரிக்கை மேற்கோள் காட்டியது.
திறந்த மூலம் (Open Source)
என்பது சாதரணமாக ஒன்றுமில்லாமல் (செலவில்லாமல்) சிலவற்றை பெற்றுக்கொள்ள விரும்பும் மக்கள் பற்றியது
என மைக்ரோசொப்ட் குறிப்பிட்டபோதும், யதார்த்தத்தில் அதனது வக்கீல்கள் அரிதாவே செலவுத்தொகை தொடர்பாக
கவனம் கொண்டுள்ளார்கள். மென்பொருள் பாவனையாளர்கள் source
code இனை இலவசமாய் பெற்றுக்கொள்ள வேண்டி இருந்தால், அது ஏனைய அவசியமான முன்னேற்றங்களை
செய்வதற்கும் மற்றும் programmes களுக்கு மாபெரும்
இயக்கத்தன்மையை கொடுப்பதற்கு திருத்தியமைக்கக் கூடியதாக இருக்கும் என்பதே அவர்களது முக்கிய கவலையாகும்.
ஐரோப்பிய ஒன்றியத்தின் நிறைவேற்று குழுவான ஐரோப்பிய குழுவின் ஏகபோகத்திற்கு
எதிரான விசாரணையை மைக்ரோசொப்ட் தற்போது முகம்கொடுத்து வருகிறது. இணையவழங்கி (Server)
சந்தையில் ஒரு பங்கினை பெற்றுக்கொள்வதற்கு மாபெரும் மென்பொருள் நிறுவனம் தனது
desktop இயங்கு தளங்களின் சந்தையின் ஆளுமையை நேர்மையின்மையுடன்
உபயோகப்படுத்தியதா என ஐரோப்பிய கமிஷன் விசாரணைசெய்கிறது. இவ்வழக்கில் தீர்வு சிலவேளை அடுத்த சிலமாதங்களில்
எதிர்பார்க்கப்படுகிறது. மைக்ரோசொப்டின் வருமானத்தின் 10 வீதம், கிட்டதட்ட 2.5 பில்லியன் டொலர் வரை
நஸ்ட ஈடாக கேட்பதற்கு ஐரோப்பிய கமிஷன் அதிகாரத்தை கொண்டிருக்கிறது.
ஐக்கிய அமெரிக்க வழக்கினைப்போல், ஐரோப்பிய கமிஷன் என்னதான் நடவடிக்கையை
எடுத்தபோதும், இது உலகம் முழுவதும் கணினி அவர்களது
அன்றாட வாழ்வின் ஒரு முக்கியபாகமாக அதிகரித்தளவில் உருவாக்கியுள்ள மில்லியன்கணக்கான சாதாரண மக்களின் நலன்களிற்கு
எதையுமே செய்துவிடப்போவதில்லை. தவிர்க்கமுடியாதபடி, மைக்ரோசொப்ட் போன்ற பிரமாண்டமான நாடுகடந்த
நிறுவனத்தினால் ஆளுமைப்படுத்தப்பட்டிருக்கும் மற்றும் தனியார் இலாபதிரட்சியை அடிப்படையாகக்கொண்டிருக்கும் சமூக
அமைப்புடன், திறந்த மூலம் (Open Source)
கருத்துப்பாடானது ஒரு நேரடி முரண்பாட்டிற்கு வருகிறது.
See Also :
ஐரோப்பிய
ஒன்றியம் மைக்ரோசொப்ட் மீதான விசாரணையை நீட்டிக்கின்றது
மைக்ரோசொப்ட்
வழக்கு: மேன்முறையீட்டு நீதிமன்றம் கம்பெனிக்கு சாதகமாக தீர்ப்பு
|