我把 Ph4nt0m聚合上 最近关于操作系统安全漏洞、安全开发生命周期SDL的Blog话题都做了标签,留做以后参考,这些好文把不少人都意识到的问题如“目前的安全对抗真的有效吗”终于挑开了,虽然 袁哥 真人还不便虎躯一颤抖落下些金银珠宝月光宝盒什么的,但如此讨论已实属难得,暗暗希望这样好的讨论碰撞冲突再激烈些,参与的朋友更多一些,讨论出未来安全漏洞的攻防到底是怎么样,有没有可能完成一套完善的、可以从根本上解决问题、不仅适用于操作系统而且适用于互联网服务的安全开发体系或者指导,这样的体系有没有可能市场化加以推广,技术和从业人的未来发展之路在哪里,如何突破现在的瓶颈等等。
Read More...
昨晚看到一位新朋友说到标题里的话时,我第一反应是:高人,纵我等之辈再怎么防护,也曾遇到朋友U盘插入我的一台Windows 2003 旧IBM笔记本的瞬间,电脑属性被改为“ 南通军军笔记本专卖 ”。看来高人的确只在江湖而不在庙堂,后来才知,这位高人朋友一直用的是Apple专卖。 在Mac用户面前说自己使用Vista,就好像在*NIX大拿面前用鼠标一样,是非常惭愧乃至羞愧的,但我不能不用Vista。事实上,除了因为money不足等不可抗力而被迫使用预装Vista的传统电脑以外,我已经养成了有事没事就在Windows下点点点点…点出右键研究菜单消遣的习惯,这一点上Mac让我失去了很多乐趣,因为它居然只有一个键。当然如果我这么解释为什么用Vista的话,是会被人“嘁!”的。那Vista会不会比Mac更安全?这个问题本身就是有问题的,因为架构不同没有可比性,过去的比较总是以每年被发现的漏洞多少来作依据,这可能是唯一看似公道的比较方法,然而单纯比较漏洞的多少可以理解(实际上也不可行,因为都=N),如果比较“被发现”的,就明显把MS当成了软柿子。那么既然两个都存在Buffer
Read More...
无需在推荐前面加强烈二字了,这是成熟的对外版本。推荐希望在Vista和Server 2008下开发安全的软件的开发人员或者对微软SDL(Security Development Lifecycle, 安全开发生命周期)感兴趣的朋友下载阅读: Microsoft SDL V3.2
Read More...
Ban可以翻译为“禁用”, Banned API 指的是在微软内部SDL中,对开发人员在编写新的或审核旧的C/C++代码时提出的要求:禁用危险的API,使用新的Safe APIs。由于Vista是第一个自始至终在SDL框架下开发的OS,我听到过两种关于Vista和Banned API的小误解: “Vista禁用了strcpy()等” 这种说法事实上是将原本指的SDL中对开发人员的约束,理解成了产品中对用户的约束,所以此说法导致不少人误会Vista下不可调用strcpy()。 “Vista的代码中已经没有了这些危险的API”
Read More...
看到报道 腾讯网络安全技术峰会 上 TK 提到了“在中国仅此一家”的 腾讯安全中心 ,想起很久没有留意过了,于是搜索到了腾讯的安全中心页面,呵呵才注意到 luoluo , Wushi , Yunshu , Failwest 都曾经报过QQ的漏洞。尽管公告不是很详细,不过能够作为“仅此一家”,足以看出腾讯对安全的重视了。 十年前的微软安全公告 ,不也是简陋到让令人咬牙切齿吗? 《 The First Step on the Road to More Secure Software is admitting
Read More...
