hit counter
Le applicazioni di terze parti sono pigre nell’adozione delle funzionalità di sicurezza di Windows - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Le applicazioni di terze parti sono pigre nell’adozione delle funzionalità di sicurezza di Windows

Le applicazioni di terze parti sono pigre nell’adozione delle funzionalità di sicurezza di Windows

  • Comments 2
  • Likes

[English readers: you can find English links in this post for your convenience]

Un report di Secunia sullo stato di adozione delle funzionalità di DEP e ASLR da parte delle applicazioni di terze part segnala che siamo ancora molto indietro…:

SC Magazine: Third-party apps failing to use Windows security features

Un estratto delle conclusioni:

While most Microsoft applications take full advantage of DEP and ASLR, third-party applications
have yet to fully adapt to the requirements of the two mechanisms. If we also consider the
increasing number of vulnerabilities discovered in third-party applications, an attacker's choice for
targeting a popular third-party application rather than a Microsoft product becomes very
understandable.

Mi domando quale sia il freno che stia impedendo l’adozione di queste funzionalità, dal momento che sempre nelle conclusioni si riporta come non sia difficile implementarle:

DEP and ASLR support, although usually trivial to implement, is overlooked by a large number of
application developers

Avete idee o esperienze personali che mi possano aiutare a capire?

Feliciano

Other related posts/resources:

Comments
  • <p>Ciao Feliciano.</p> <p>Secondo me la risposta è relativamente semplice. Chi fa questi software programma ancora in ambiente XP. Molto banalmente.</p> <p>I programmatori sono molto pigri e spesso poco propensi all&#39;aggiornamento a sistemi &quot;più moderni&quot;.</p> <p>Benché siano passati più di 4 anni dall&#39;immissione sul mercato dei sistemi &quot;vista based&quot; c&#39;è stato, a quel che vedo, un rifiuto pregiudiziale e psicologico, ove addirittura religioso, nell&#39;&#39;adottare il nuovo ambiente a cominciare, ad esempio, dall&#39;integrazione delle funzionalità della superbar di 7.</p> <p>Se guardiamo il mercato OEM notiamo come l&#39;infarcitura di software che si precarica sulla macchina sia esclusivamente dovuta alla mentalità &quot;XP&quot;.</p> <p>Come ben sai Windows XP necessitava di precaricamenti per velocizzare le esecuzioni di programmi usati frequentemente.</p> <p>Come altrettanto sai, Windows Vista e WIndows 7 hanno superfetch. </p> <p>Evidentemente gli OEM builders non hanno recepito questa funzione perchè il loro ambiente &quot;windows&quot; di riferimento è ancora, nel 2010, Windows XP.</p> <p>Quì, a mio avviso, entra in gioco però un errore di Microsoft. Che è quello di non pretendere l&#39;esecuzione di precise direttive sul software: dalla sua installazione alla sua redazione.</p> <p>Non ci può essere, ad esempio &quot;XX software update&quot;, apparentemente comodo ma in sovrapposizione a windows update. Non ha alcun senso logico e appesantisce la macchina.</p> <p>Allo stesso modo, il software che non comprende ASRL e DEP dovrebbe essere scoraggiato totalmente. Non è facile, me ne rendo conto, ma è difficile anche chiedere di aggiornare un sistema che, ad oggi, dalla stessa Microsoft continua ad essere tirato per i capelli.</p> <p>Basta rendere vantaggioso palesemente il passaggio al nuovo sistema sia come ambiente di programmazione che come sistema in sé. I modi e le forme sono parecchi e mi pare che si stia rivelando un successo. Basta semplicemente insistere e puntualizzare meglio.</p> <p>Difficile, non impossibile.</p>

  • <p>Ciao DaveGreen, personalmente condivdo molte delle considerazioni che hai fatto: il punto cruciale su quello che tu indichi come &quot;errore di Microsoft&quot; temo sia una parte fondamentale del nostro attuale (almeno fino ad ora) modello di business, ossia quello di abilitare un ecosistema applicativo, piuttosto che blindarlo e/o vincolarlo con regole stringenti. E&#39; verissimo che dal punto di vista della sicurezza tutta questa libertà fornita a chi sviluppa ha prodotto una situazione non ideale, e mi auguro anch&#39;io che si riesca a trovare il modo di incentivare l&#39;adozione di best practice di sviluppo sicuro e l&#39;uso di piattaforme Microsoft più aggiornate.</p> <p>Grazie per aver condiviso le tue considerazioni.</p>

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment