Problemi u radu
uređuje Dragan Grbić

Mnogi problemi sa sigurnošću

Nivo:
NIVO 2 - Među ovim prilozima se nalaze preporuke koje se uglavnom odnose na bolje snalaženje i efikasniji rad: dodatni trikovi koji će biti svakom od pomoći i koji upućuju na prag napredne upotrebe programa.

I ovo se događa: jedan paket pokvari ponašanje drugog paketa. Uvek treba da pratite informacije o novim paketima, jer se greške događaju skoro uvek...

Za one koji prate zbivanja oko Officea, vrelo leto 2000. je bilo burno - i neprijatno. Otkriveno je nekoliko sigurnosnih propusta u Officeu 2000 i došlo je do mnogih komentara na račun Microsofta. Dok se glasno govori o .NET tehnologiji, informacije na sajtu Microsofta o tekućim problemima su škrte, a ponekad i nedosledne. U par navrata se čak dogodilo da neka ispravka softvera izazove drugi problem, pa i ozbiljniji od prethodnog. Pomenimo neke od problema o kojima biste trebali da znate, uz nadu da njima ipak nećete biti izloženi.

Otkrivena je sigurnosna rupa u Excelu 2000 koja u odgovarajućim uslovima dozvoljava izvršenje zlonamernog koda bez ikakve poruke, bez obzira što su pripremljeni mehanizmi za upozorenje pri izvršenju koda iz neproverenog izvora. Angažovanjem određene DLL datoteke, koja ne mora čak ni biti na računaru korisnika, i izvršenjem posebne strukture u radnoj svesci Excela, moguće je završiti sa potpunim uništenjem sadržaja na disku. I pre nego što se Microsoft oglasio odgovarajućom ispravkom, pojavio se klon istog virusa koji se izvršava u PowerPoint 97 datotekama. Kasnije su objavljene zakrpe; sad je najbolje da nađete servisne ispravke za pakete i da ih instalirate.

Otkrivena je još jedna zavrzlama u Excelu 2000. U programu postoji specijalna funkcija REGISTER.ID, koja se može koristiti da pozove na izvršenje neki specijalni DLL modul, pa i onaj koji sadrži zlonameran kod. Antivirusni programi ne reaguju na takve funkcije, iako se takvi moduli mogu napisati. Naime, po prirodi stvari radna sveska može da sadrži mnogo funkcija i ta provera pri otvaranju radne sveske bi trajala predugo, što bi dovelo u pitanje "radnu valjanost" zaštite.

Microsoft se konačno oglasio krajem septembra sa odgovarajućom ispravkom, prilično kasno u odnosu na vreme otkrivanja greške. Ako ste skloni povremenom preuzimanju XLS datoteka sa Interneta ili iz drugog izvora, bilo bi dobro da primenite ovu ispravku. Da biste je mogli instalirati, potrebno je da prethodno aplicirate Office 2000 SR-1 i da pripremite prvi instalacioni CD Office-a 2000, koji će biti zatražen tokom instalacije. Ispravka, zapravo, predstavlja primer grube sile: ne postoji nikakav filter koji proverava nivo bezbednosti modula koji se poziva, nego se funkcija REGISTER.ID blokira i onemogućuje se njena dalja upotreba. Nemojte se brinuti zbog toga: jako je mala verovatnoća da koristite funkciju REGISTER.ID, a umesto nje postoje drugi načini da se aplicira specijalni DLL u Excel aplikaciji.

Da biste nakon instalacije proverili valjanost cele operacije, proverite datoteku Excel.exe na svom disku: desnim klikom na datoteku otvorite dijalog Properties, pa pređite na list Version: broj verzije datoteke treba da bude 9.0.4317 ili veći.

Matični dokument sa objašnjenjem pojave i rešenjem se nalazi u bazi znanja Microsofta u članku Q269252.

Otkriven je i problem sa neodgovarajućim pristupom bazi u Accessu 97/2000: odgovarajućim kodom u <OBJECT> tagu u HTML stranici koja eksploatiše podatke iz baze, koji može pokrenuti nesiguran VBA kod unutar baze. U času pisanja ovog priloga, još nije objavljena ispravka problema, a Microsoft sugeriše izmenu administratorske lozinke nad bazom, što može da reši problem. Evo šta možete učiniti: startujte Access bez otvorenih baza, pa otvorite dijalog Tools/Security/User and Group Accounts; označite korisnika Admin, koji bi trebalo da je inicijalno definisan, pa pređite na list dijaloga Change Logon Password i definišite novu lozinku.

Mada ovi saveti rešavaju otkrivene probleme, zaista se nameće jedno važno pitanje. Ako pratite zbivanja, primetili ste da je većina problema u aktuelnom Officeu (i u mnogim drugim programima) vezana za topologiju primene Interneta, dok se Office 2000 pokazao kao najstabilnija verzija ovog paketa do sada - ali samo ako posmatramo osnovnu namenu programa. Treba da bude jasno da je Internet po svojoj prirodi nesigurna platforma, te da se na klijentskoj strani moraju obezbediti sve moguće mere obezbeđenja sigurnosti.

Zašto ne reći naglas: kada je reč o komunikacionim tehnologijama u softveru, postoji ogromna slabost u temeljnoj strukturi Microsoftovih klijentskih programa.

Ako bi se obezbedila "prirodna" zaštita unutar Office programa, poziv spoljnog modula sa REGISTER.ID bi bio bezbedan, a prirodna veza Office programa sa Internetom "nesalomiva" po sistem. Urednik uglednog elektronskog časopisa eWeek je opisani problem u Accessu nazvao "primerom najgoreg mogućeg sigurnosnog propusta u Windowsu". Sad, ne bih bio baš ovako rigidan u svom komentaru, ali mučni utisak me ne napušta...

Umesto da milioni korisnika troše svoje vreme na ispravke softvera, dužnost je proizvođača da uz odgovarajuću naprednu tehnologiju osigura i bezbednu okolinu, a potom i da dokaže tu bezbednost. U protivnom, zaista mi nije jasno kako će budući Office.NET uopšte proći na tržištu. Verujte, ljut sam što moram da trošim prostor rubrike i sajta na ovakve priloge, ali to je izgleda cena koju svi plaćamo jer koristimo najmoćniji softverski paket široke namene na tržištu. U ime svih korisnika, apelujem na Microsoft da ojača temelje i okolinu svog softvera. Učini li tako, uveren sam da neće morati da troši onolike pare na marketing i glamurozne prezentacije, nego će lako pridobiti i one korisnike koji odbijaju da koriste Microsoftovu komercijalnu platformu za svoj rad.