В механизме защиты конфиденциальности IE9 нашли противоречие

Недавно выпущенный в свет обозреватель Internet Explorer 9 содержит технологию противодействия следящим механизмам рекламных сетей - do-not-track; она реализована при помощи особых списков защиты от отслеживания (TPL). Блюстители конфиденциальности из организации Which нашли в упомянутой технологии ошибку; представители Microsoft, однако, уверяют, что это не "баг", а функция.



Суть проблемы - в расстановке приоритетов. Напомним, что пользователь IE9 может загружать и активировать сразу несколько защитных списков, и это вполне разумно и логично: если какой-либо нежелательный ресурс ускользнул от одного "всевидящего ока", то есть шанс, что на него обратил внимание другой составитель. Однако при одновременном использовании различных TPL возникает вопрос их совместимости: что делать, если в списке №1 такой-то ресурс заблокирован, а в списке №2 - разрешен?


Именно здесь Microsoft и специалисты Which разошлись во мнениях. Последние полагают, что приоритет должен быть отдан запретительному вердикту, а в текущей реализации Internet Explorer все наоборот - более важным считается разрешение. Соответственно, защитники конфиденциальности говорят об ошибке в TPL-механизме, в то время как создатели IE9 отвечают "так и было задумано".


Впрочем, Microsoft изначально заявила, что не будет вмешиваться в процесс создания списков, поэтому теперь эксперты корпорации со спокойной душой возлагают всю ответственность на индивидуальных пользователей и на составителей вышеупомянутых перечней. Клиентам предложено "внимательно изучать" содержимое новых списков, чтобы убедиться в их непротиворечивости; поставщики TPL, в свою очередь, должны самостоятельно заботиться о совместимости с чужими решениями и о надлежащей синхронизации данных.


Некоторые специалисты отмечают, что Microsoft недостает прозрачности в объяснении сущности тех или иных механизмов и взаимодействия между ними. Так, из официальных справочных материалов трудно понять, как именно разрешаются конфликты между списками TPL и существует ли связь между этими перечнями и другими подсистемами защиты личных сведений - например, не вполне ясно, влияют ли поступающие от TPL инструкции на политику работы с идентификационными файлами обозревателя (cookies).


The Register


Письмо автору

" />

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Oracle назвала критически уязвимые продукты до выпуска патчей

Ввиду серьезности закрываемых брешей компания Oracle заранее опубликовала список продуктов, которые получат обновления 19 октября (по Москве это будет сегодня ночью). Суммарно разработчик подготовил 418 патчей и призывает пользователей применить их в кратчайшие сроки.

Судя по приведенным оценкам по шкале CVSS, из новых находок наиболее опасна проблема СУБД Oracle Essbase (10 баллов). В Java-приложении, предназначенном для администрирования таких серверов, было найдено пять уязвимостей; три из них можно эксплуатировать удаленно и без аутентификации.

Кроме того, критические уязвимости устранены в следующих решениях:

  • набор веб-приложений и элементов сетевой инфраструктуры Oracle Communications (9,9 балла);
  • комплект приложений Oracle Financial Services (9,9 балла);
  • платформа Oracle Fusion Middleware (9,8 балла);
  • облачный сервис Oracle Health Sciences (9,8 балла);
  • приложения из набора Oracle Insurance (9,8 балла);
  • продукты линейки Oracle MySQL (9,8 балла);
  • системные решения — Solaris, Ethernet-свитчи, набор для организации хранилищ Oracle ZFS Storage Appliance Kit (9,8 балла);
  • приложения Oracle PeopleSoft (9,1 балла).

Согласно анонсу, обновления получат также Java SE (15 новых дыр с оценкой до 8,6 балла), сервер базы данных (9 уязвимостей, до 8,2 балла), комплект приложений Oracle E-Business Suite, системы управления Hyperion, пакет VM VirtualBox и ряд других решений компании.

Заметим, ежеквартальные наборы патчей для продуктов Oracle всегда столь объемны, что пользователям и админам трудно отыскивать в публикуемых списках то, на что нужно обратить внимание. Такой предрелизный анонс способен помочь им сориентироваться и загодя расставить приоритеты для патчинга.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru