微软对老ActiveX的封锁还不够

互联网 2020-05-10 11:58:12

在过去的12年里,微软一直在清理Windows系统中的安全问题,而微软是在前几年创建的。 下周二——周二——该公司将增加另一个功能来清理旧的混乱,即。 能够阻止旧版本的ActiveX控件,这是Windows上非常常见的漏洞向量。

我的同事Ed Bott称这一变化“具有里程碑意义”,这一点很重要,特别是因为它最初关注的是这一领域的一个最大问题,即Oracle的Java。 但对我来说还不够纪念。 微软可以通过允许第三方插入Windows Update机制,在解决第三方Windows程序的更新问题方面迈出真正的巨大一步。 很明显,微软不会这样做,这限制了它的相对较小的变化,如现在的新闻。 这个新的变化当然是一件好事,但它让我缺乏。 这是对微软其他一些黑客解决方案的改进,例如通过Windows Update交付Active X kill bitsthrough。

密码安全指南(以及您为什么要关心)

找出您的密码安全如何被破坏,以及如何创建和管理安全密码。

多读一点

如果微软能让绝大多数用户保持关键的第三方程序的最新状态,那该怎么办? 为此,它需要利用其最大的资产之一——Windows Update基础设施。 它应该允许第三方使用WindowsUpdate交付他们的更新,这是一个在所有Windows系统中默认自动多年的过程,用户已经学会了信任。

如果这听起来很耳熟,可能是因为我已经争论了将近10年,最近一次是去年秋天。 我从来没有得到一个明确的答案,但我很清楚,微软不想负责交付其他人的代码。 这似乎是一个非常合理的论点,直到你认为Windows8和WindowsPhone的WindowsStore模型(在较小程度上,Xbox)是围绕着唯一的源代码来传递其他人的代码,包括最新的更新。 同时,微软将Adobe Flash集成到Internet Explorer10及以后。

这些环境的应用程序开发规则是严格的,开发人员必须向微软支付作为开发人员和测试和托管他们的应用程序的特权。 但这些问题远非不可克服。 首先,我看不出为什么微软需要托管其他任何人的代码。 另一方面,微软可以设定允许第三方进入系统的条款。

一个选项是Windows Update服务器提供托管在其他供应商服务器上的代码。 或者微软可以授权第三方在自己的服务器上运行WindowsUpdate服务器软件,他们的安装过程也可以配置WindowsUpdate客户端来查找这些服务器上的更新。 或者微软可以托管第三方代码

Oracle、Adobe和其他公司希望微软交付他们的代码而不是自己做吗? 他们希望这样做的理由很充分:首先,他们的更新基础设施的运行成本很高。 许多供应商仍然需要为Mac和Linux用户提供更新服务,因此他们仍然需要一个基础设施,但对其的需求和所消耗的带宽将大大减少。

其次,它可能会给他们的客户更好的体验,特别是中型组织,它们可以很容易地使用WSUS来管理更新。 把它看作是另一个操作系统服务,所有的ISV都使用大量的操作系统服务。 如果我是微软,我会为服务定价,以尽量鼓励采用,但赚钱没有错。

但这不会发生。 如果会发生,就已经发生了。 如果我看到新的现代UI应用程序接管了市场,我会对此感到更好,但这方面的迹象很少。 随着Windows桌面程序的持续,旧版本的问题也会如此。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢