Все новости от 5 сентября 2004 г.

SP2 против плагинов

Годами разработчики ПО предлагали миру свои приложения для веб-браузера Microsoft Internet Explorer через мощный проприетарный API компании, называемый ActiveX. Эта технология запускает внешние приложения, или «плагины», внутри веб-страницы.

Однако инструмент, который хорошо исполняет программы в браузере, способен выполнять и злонамеренное ПО, в результате чего ActiveX оказался замешан во многих схемах нарушения защиты, в том числе и тайной установки adware, spyware и прочей нечисти.

Service Pack 2 подрезал ActiveX крылья, усилив систему предупреждения, которая вступает в действие при попытке веб-сайта исполнить элемент ActiveX, открыть всплывающее окно или выполнить другой код. В прошлом IE, прежде чем позволить установить плагин, предлагал пользователям в окне предупреждения простые варианты выбора Yes или No. В SP2 Microsoft по умолчанию блокирует элементы управления ActiveX и выводит грозное предостережение о том, что неизвестное ПО способно повредить ПК, и что разрешение инсталляции может привести к непредсказуемым последствиям.

Эти перемены встревожили производителей ПО, которые опираются на ActiveX, и вызвали подозрения в использовании Microsoft необходимости усиления мер безопасности для достижения собственных стратегических целей. «Мы с замиранием сердца ожидаем, когда все его установят, — говорит Алекс Сент-Джон, участвовавший в создании графического ПО Microsoft для DirectX в свою бытность сотрудником компании с 1992 по 1997, а теперь владелец сайта 3D-игр WildTangent. — Скорее всего, предупреждение SP2 встревожит и насторожит пользователя, и он вообще все отменит. А большой процент людей сначала просто не поймет, что произошло… Это нарушает все бизнес-модели, связанные с возможностью воспроизводить контент в браузере».

Другой поставщик согласен, что SP2 помешает распространению его 3D-плагина через Web. «Он запутывает конечных пользователей, — говорит Тони Париси, основатель Media Machines и один из создателей спецификаций веб-графики VRML (Virtual Reality Modeling Language) и X3D (Extensible 3D). — И я думаю, что это стреножит независимых разработчиков ПО, которые пользовались удобным и относительно дешевым способом распространения продуктов, какой предоставляют веб и IE. Я понимаю, что существуют проблемы безопасности, но думаю, что это ударит по независимым разработчикам ПО».

Многолетние жалобы
Проблемы безопасности были действительно нешуточными. Microsoft обуздала ActiveX после многолетних жалоб на то, что компания не принимает достаточно серьезных мер, причем особенно жаловались на ActiveX. Два с половиной года назад Билл Гейтс объявил, что безопасность стала для Microsoft задачей номер один.

IE давно требовал от пользователей подтверждения при загрузке элементов ActiveX. Но до SP2 злонамеренные хакеры обходили эти предупреждения, а эффект от них был небольшим, так пользователи привыкли и легко их проскакивали. «Большинство пользователей по инерции давили OK, не читая предупреждения ActiveX, — говорит Даг Стэмпер (Doug Stamper), менеджер программистов группы IE, который работал над SP2. — Мы внесли эти изменения потому, что пользователи стали загружать программы автоматически, по инерции».

В основе изменений, внесенных Microsoft, лежит новая «информационная строка», тонкая линейка прямо под строкой веб-адреса, в которой отображаются предупредительные сообщения. Чтобы отмести сомнения в том, что пользователь заметит информационную строку, SP2 каждый раз выводит диалоговую рамку, указывающую на нее, пока пользователь не поставит в ней галочку против просьбы убраться.

В зависимости от того, что пытается сделать веб-сайт, в информационной строке отображаются разные предупреждения. Если он пытается выполнить элемент ActiveX, сообщение гласит: «Для этого сайта может потребоваться следующий элемент ActiveX… Кликните здесь, чтобы его установить».

Про некоторые программы — например, бесплатный RealPlayer — текст сообщает: «Чтобы гарантировать вам безопасность, Internet Explorer запретил этому сайту загружать файлы в ваш компьютер. Кликните здесь, чтобы выбрать вариант».

Microsoft утверждает, что хотя ее исследования выявили некоторые недостатки новой системы, большинство людей сможет в ней разобраться. «Наши тесты на usability и наш инженерный процесс убеждают, что она действует очень хорошо, — говорит он. — Не все, но подавляющее большинство пользователей поняли ее назначение».

Меры защиты служат бизнес-стратегии?
«Это один из тех случаев, когда Microsoft будут критиковать с обеих сторон, — говорит аналитик Burton Group Питер О’Келли. — Если надо выбирать между безопасностью для всех и неудобствами для некоторых поставщиков ПО и некоторых пользователей, то выбор очевиден».

Критики Microsoft полагают, что меры защиты компании реализованы так, чтобы усилить собственный бизнес за счет бизнеса других. Например, Сент-Джон отмечает, что перейдя от общих веб-технологий к структуре Microsoft .Net и языку программирования С#, он смог бы обойти новый протокол защиты ActiveX. Но так как многие его геймеры работают через dial-up соединения, сравнительно тяжелая загрузка .Net делает этот вариант неприемлемым. «Возможно, штурм рядов ActiveX призван повести в сторону .Net, — говорит Сент-Джон. — И все это делается под предлогом усиления безопасности».

Усложнение использования ActiveX может оказать угнетающее воздействие на несколько программ, конкурирующих с технологией Microsoft. В их числе медиаплеер Apple QuickTime, RealPlayer от RealNetworks, Adobe Acrobat и ПО флэш-анимации и сервер приложений Flex от Macromedia. «Большинство проблем безопасности в интернете не связано с ActiveX, — говорит главный технолог Laszlo Systems Дэвид Темкин. Microsoft просто воспользовалась случаем, чтобы ужесточить контроль над клиентскими технологиями. Это плохо для Flex, для Real, для QuickTime и многих и многих других».

Microsoft отвергает обвинения в использовании безопасности в стратегических целях. «Внесенные нами изменения выгодны заказчику, так как обеспечивают ему максимум информации, что позволяет принимать обоснованные решения, — говорит Стэмпер. — Мы не мешаем работать (поставщикам ПО)».

Отзвуки прошлого?
Защита Microsoft может показаться тревожным звонком для тех, кто следил за восхождением операционной системы Windows.

В 1999 году компания отвергала обвинения своего конкурента Caldera в том, что Microsoft выводит угрожающее сообщение об ошибке при обнаружении программного обеспечения Caldera DR-DOS. Дело кончилось внесудебным урегулированием в 2000 году.

Сегодня критики Microsoft указывают на две области с высоким уровнем конкуренции, которые может затронуть система предупреждения ActiveX SP2: медиаплееры и интернет-приложения. Так как Windows Media Player поставляется вместе с операционной системой Microsoft, он получает немедленное преимущество над такими конкурентами, как RealPlayer и QuickTime. Если новые предупреждения Microsoft отпугнут пользователей от загрузки элементов ActiveX, это может создать компании дополнительное преимущество.

Сейчас RealNetworks ведет антимонопольную тяжбу с Microsoft, утверждая, что монополия Windows ограничивает потребителям выбор онлайновых медиаплееров. RealNetworks и Adobe, которая все больше конкурирует с Microsoft, отказались от комментариев для этой статьи. Apple тоже, но в ее заявлении говорится: «Мы тестировали QuickTime с Microsoft Windows XP SP2 и не обнаружили никаких негативных эффектов для контента на базе плагинов». Macromedia тоже не видит в SP2 ничего опасного для своей способности распространять плеер Flash, утверждая, что с весны она сотрудничает с Microsoft над релизом, чтобы найти баланс между максимальной безопасностью и простотой использования.

Независимые софтверные компании, которые считают существующие предупреждения ActiveX злом, знакомы с опытными версиями, говорит главный архитектор ПО Macromedia Кевин Линч. «Поначалу процесс установки элементов ActiveX действительно был трудным. Из текста предупреждений было не очень понятно, о чем именно просят пользователя, особенно сбивала с толку надпись: „This will be dangerous to your machine”. Но Microsoft проявила отзывчивость, и мы пришли к результату, который нас вполне устроил».

Отношения Macromedia с Microsoft можно считать хрестоматийным случаем корпоративной конкуренции. С одной стороны Microsoft способствовала почти повсеместному распространению флэш-плеера Macromedia, так как ввела его версию 5 в Windows ХР. Macromedia Flash стал единственной программой от независимых поставщиков, вошедшей в пакет SP2. Это означает, что пользователи Windows получат автоматическое обновление с Flash 5 на Flash 6.

С другой стороны, Microsoft решила не включать новейший плеер Macromedia Flash 7. Он нужен для исполнения интернет-приложений, которые работают с платформой Macromedia Flex. Сочетание серверного ПО Flex с Flash 7 создает именно такие быстродействующие интернет-приложения с интенсивным использованием графики, какие Microsoft планирует предложить в многократно откладываемом обновлении Windows Longhorn. «Microsoft не хочет распространять Flash 7, — говорит аналитик Burton O’Келли. — Я верю слухам, что Microsoft считает его более конкурентным, чем прежние версии Flash».

Представитель Microsoft сказал, что компания предпочла Flash 6 версии Flash 7 по техническим причинам и соображениям безопасности. Macromedia утверждает, что сначала Microsoft приводила в качестве довода против Flash 7 опасения Евросоюза по поводу самообновляемого ПО. Позднее Microsoft от казалась от этого довода.

Какими бы ни были мотивы Microsoft, принятое решение означает, что пользователям SP2, чтобы открыть веб-страницу, требующую Flash 7, придется преодолевать секьюрити-препоны ActiveX. Macromedia утверждает, что Flash 7 делает быстрые успехи. По оценкам компании, сегодня это ПО установлено более чем на 66% подключенных к интернету компьютеров в США и 81% в Европе.

Другие производители ПО не знают, как они станут жить при новом режиме безопасности. «Проблема плагинов стоит очень остро, — говорит основатель Media Machines Париси. — Как только клиенты моих заказчиков столкнутся с проблемой установки плагинов, они окажутся перед новым барьером, который им предстоит преодолеть».

И хотя поставщики плагинов с напряжением ждут последствий перехода на SP2, Laszlo Systems готовится к худшему, зная, что те разработчики, которые сильно зависят от Flash и ActiveX, живы только милостью Microsoft. «SP2 это еще цветочки, — говорит Темкин. — Настоящую неизвестность несет с собой Longhorn. Включит ли Microsoft туда хоть какую-нибудь версию Flash? Не затруднят ли они доступ и не отпугнут ли народ от ее загрузки? Мы собираемся заблаговременно ввести в свое ПО поддержку клиента .Net — тогда вообще не потребуется загружать ActiveX». 

 Предыдущие публикации:

 В продолжение темы:

Обсуждение и комментарии

	xacid 6 Sep 2004 10:00 AM
я всегда знал что эти активыксы - дерьмо и что всё закончится тем чем закончилось - мс сама же и их и придушила фактически то же будет и со всякими дотнетами и прочей мс-муйней я практически уверен в этом - мс всегда делает всё на уровне тупого грязного хака, а потом когда всё рушится переделывает по-новой....
	tstone - saldomail.ru 6 Sep 2004 11:30 AM
"Это нарушает все бизнес-модели, связанные с возможностью воспроизводить контент в браузере" Нашел на чем бизнес-модель строить. "что те разработчики, которые сильно зависят от Flash и ActiveX, живы только милостью Microsoft" И ныне, и присно, и во веки веков. Админь.
	Пётр 6 Sep 2004 2:48 PM
А ещё провайдеры, по идее, должны начать стонать, ведь теперь, когда АктивИксы многие пользователи загружать не будут, трафик уменьшится.
	кун4ненн54р45 6 Sep 2004 3:00 PM
И как же это ZDNet упустил такую МСовскую подлость, что из-под не-админа ActiveXы из интернету еще в win2k поставить просто невозможно.
	недовольный читатель 6 Sep 2004 3:34 PM
2 кун4ненн54р45 >И как же это ZDNet упустил такую МСовскую подлость, что из-под не-админа ActiveXы из интернету еще в win2k поставить просто невозможно. а много народу дома сидят под обычным юзером ?
	73137 6 Sep 2004 3:51 PM
...а ты, Билл, получишь хорошую работу в Сибири, будешь иксы на XBox ставить, ты понял, Билл? Значит, разработчики жалуются, что им не дают возможности без ведома юзера запускать свой поганый актив икс-игрек-йот? А почему не делать как нормальные люди - распространять полноценный софт под win32, ну или даже хваленый дотнет, чтобы юзер сам понял, что это ему нужно, скачал это, заплатил за это, если оно не бесплатно... А нет - делать деньги на баннерах во время просмотра очередной масяни... Прошлое тысячелетие!
	73137 6 Sep 2004 3:55 PM
Вот например, у меня IE вообще не имеет доступа к сети. Для этого есть Opera, Avant, MyIE с отключенным на уровне системы Flash и прочими активухами. Если я хочу посмотреть флеш, я закачиваю его каким-нибудь даунлоад-менеджером, а затем запускаю FlashPlayer. К тому же такой флеш можно скопировать и переслать кому-либо. Но зато я целый день могу не увидеть ни одного баннера!
	кун4ненн54р45 6 Sep 2004 3:59 PM
273137 Вот например, у меня IE вообще не имеет доступа к сети. Для этого есть ... Avant, MyIE Совершите Вы массу открытий, иногда не желая того.
	Alexander S. 6 Sep 2004 4:27 PM
2 xacid, А не расскажет ли нам уважаемый, чем Netscape plug-in отличается от Internet Explorer ActiveX control? +++ 2 73137, Вы хотите сказать, что вы не в состоянии настроить IE для себя лично? >Но зато я целый день могу не увидеть ни одного баннера! Начиная с Internet Explorer 1.5 (болеее раннего не держал в руках) вы можете настроить IE так, чтобы ни одного баннера не увидеть. Разумется, в разных версиях настройки могут быть разными, а собственно в IE 1.5 ничего и настраивать не надо для убиения баннеров. Их там не будет в принципе. Однако, факт остаётся фактом- можно с IE без баннеров, ещё с прошлого века. Места надо знать, в настройках.:) Кстати, когда я расхваливал своему американскому другу SP2 перед установкой на его комп, и сказал как прекрасно ему будет без баннеров, знаете что он мне сказал? Что баннеры ему интересны- вдруг там нужная ему реклама? Вы будете смеяться- но pop-up blocker я ему выключил, по просьбам трудящихся, так сказать.
	... 6 Sep 2004 4:59 PM
2Alexander S.: >вы можете настроить IE так, чтобы ни одного баннера не увидеть. Например, отредактировать hosts :) Отключать намертво popup неправильно, ряд сайтов, например, nokia.com использует их.
	Alexander S. 6 Sep 2004 5:21 PM
2 ..., >Например, отредактировать hosts :) Например, отключить JavaScript. Насчёт IE 1.5- в те годы JavaScript ещё не был изобретён, так что ни один броузер той поры не показывал баннеров. Разумеется, поэтому, замечание про старую версию- с подвохом. >Отключать намертво popup неправильно, ряд сайтов, например, nokia.com использует их. Обычно количество сайтов где вы согласны видеть popups очень ограничено, а те от которых вы popups видеть не хотите- теоретически неограниченно. Поэтому, править hosts- это от слишком большого ума и слишком большого количества свободного времени. Списки pop-серверов гуляющие по российскому Инету, которые можно сгрузить и поставить в свой hosts для запрещения доступа к ним, тому подтверждение. Проще запретить JavaScript для всех, и потом разрешать его только для тех сайтов что вам нужны, вроде Nokia. У меня, к примеру, в списке сайтов которым был разрешён JavaScript было три URL, остальным JavaScript был запрещён по умолчанию. Hosts я бы замучился править.
	Yuri 6 Sep 2004 5:45 PM
> У меня, к примеру, в списке сайтов которым был разрешён > JavaScript было три URL, остальным JavaScript был запрещён по > умолчанию. > Hosts я бы замучился править. А нормальные люди не занимались ерундой, а еще несколько лет назад поставили себе какой-нибудь попап-блокер, и с тех пор никаких попапов не видят :-)
	Alexander S. 6 Sep 2004 6:30 PM
2 Yuri, Безусловно. Однако, я говорил о настройках IE, не об установке дополнительного ПО. Кстати, у попап-блокера есть две проблемы: 1. Не всё блокирует. 2. Самые популярные, Google Toolbar и MSN Toolbar, требуют включения "Enable third party browser extensions"- а это штука такая, перед включением которой советую сильно подумать. "browser extensions" была и остаётся любимым местом spyware. Благо, с появлением SP2 и встроенного pop-up blocker эту "фичу" можно держать выключенной. Кстати, если вы серьёзно хотите защитить свой комп, то JavaSacript по-прежнему рекомендую держать выключенным для всех сайтов кроме тех, которым, по вашему мнению, он действительно нужен. Но это уже не к pop-ups относится, это к безопасности вообще. Причём независимо от броузера которым вы пользуетесь. Дыра- она и в Опере дыра.:)
	Michel 6 Sep 2004 9:23 PM
Не надо париться, используйте Opera 7.60! И конец полемике!
	hrun 7 Sep 2004 6:25 AM
AS - ты забыл добавть , что проблемы с JS только у пользователуй IE
	NoName 7 Sep 2004 9:20 AM
Alexander.S ты б не распинался, после установки SP2 IE невозможно пользоваться без дополнительного рукоблудства, поэтому просто ставим последнюю Маззилу и наслаждаемся безопасным инетом. Только не надо кричать брызгая слюной что Мазилла дырявая, тыкни пальцем где в последней версии серьёзная дыра - а мы скажем что ты свистун
	NoName 7 Sep 2004 9:23 AM
Alexander.S если ты незнаешь различий в том как ставятся ActiveX и Netscape plug-ins то ... просто нет слов - ты просто лузер.
	... 7 Sep 2004 10:51 AM
2 Alexander.S: разница в том, что плугин действует в рамках нетшкафа, а ActiveX элемент - полноценная win32 программа. со всеми печальными выводами. А ведь помню было время, когда ActiveX рулил :) Новое слово в Internet-технологиях, легкость разработки убедительное превосходство над тормозной виртуальной машиной :)) Прошли годы, оказалось, что это новое слово на самом деле очень старое и состоит из 3-х букв :)
	Simon 7 Sep 2004 11:52 AM
Мда, ребята.... Чтобы MS не сделала - ну никак не угодишь.
	xfs 7 Sep 2004 11:54 AM
карма у балмера никакая. чакры погнутые
	Yuri Abele 7 Sep 2004 1:38 PM
To Alexander.S: > Списки pop-серверов гуляющие по российскому Инету Поделитесь ссылочкой, если не жалко
	... 7 Sep 2004 3:05 PM
вообще-то название у статьи должно было быть другое "Microsoft против ActiveX: последний удар"
	кун4ненн54р45 7 Sep 2004 4:24 PM
вообще-то название у статьи должно было быть другое "LOL!!! Ублюдки из Microsoft снова облажались!!!! Гыыыыы!!!"
	Alexander S. 7 Sep 2004 5:47 PM
2 Yuri Abele: Цитирую: "Нетрудно найти готовые списки сайтов, занимающихся показом баннерной рекламы. Один из таких списков вы можете загрузить по адресу http://www.accs-net.com/hosts/Downloads/hosts127001.zip. Просто замените им свой файл hosts, и многие баннеры исчезнут из вашего браузера навсегда." Полный текст здесь: http://www.computerra.ru/print/hitech/rtfm/35491/ +++ 2 ..., Разницы, на самом деле, большой нет. Вот вам линк на документацию, если знаете английский- почитайте: http://devedge.netscape.com/library/manuals/2002/plugin/1.0/ Более устаревшая но чисто Нетскейпова версия здесь: http://developer.netscape.com/docs/manuals/communicator/plug in/ Plug-in представляет собой не более чем DLL. То есть внутри- тот же самый win32 код. >плугин действует в рамках нетшкафа После того, как plug-in вызван на выполнение, он может нанести столько же вреда (или пользы:) компьютеру как ActiveX control. "Рамок" никаких нет. То есть "нехороший" plug-in может портить файловую систему, сделать закладки в ОС, шпионить за юзером и т.д. и т.п. >было время, когда ActiveX рулил :) Новое слово в Internet-технологиях, легкость разработки убедительное превосходство над тормозной виртуальной машиной :)) Plug-in не работает в рамках виртуальной машины. Согласно документации, plug-in-ы традиционно пишутся на C и C++. Виртуальной машиной тут и не пахнет.
	Ender - xxxxxx.xxx 10 Sep 2004 4:28 PM
Всемерно приветствую возможность отключать всякие ActiveX-ы в IE. Один Flash чего стоит.
	нц 13 Sep 2004 12:26 AM
Кстати - чего стоит Флеш? А помоему смысл в том что перец и Ласзло просто напомнил о своем продукте. Вот и все.
	Black Bat 16 Sep 2004 7:18 PM
to NoName: _после установки SP2 IE невозможно пользоваться без дополнительного рукоблудства_ факты в студию!