zhaol's blog

下面是一则新闻报导，讲的是由于微软公司的Windows OneCare安全服务中的防火墙组件有漏洞，使得恶意软件畅通无阻，安全套件完全起不到相应的作用。这里一直存在一个安全和易用性折中的问题：缺省的安全配置是否应该相信设备，允许其通过。缺省是完全的“断”，则用户将会不断的被告警打扰，不胜其烦，最后还是关掉，厂商被投诉被抱怨。缺省是完全的开当然已经被批判了很长时间了，问题就在于这个取舍的度上面。

当前的灰色软件和流氓软件的确是越来越多，还真难将他们严格地分为恶意或者正常，但是不管怎样，单单依靠是否具备签名似乎显得简单了些。由此想到，在SOA的架构里，在未来Web Services遍布的时代里，如何定义是否合法、是否安全、定义这些机器之间对话的安全策略将会变的很有挑战性。

[separator]

％％％％％％％％％％％％％％％％％％％％％％％％％％％％％％

微软公司的Windows OneCare安全服务中的防火墙组件有漏洞。

在缺省配置下，防火墙软件能够使利用了JVM或有数字签名的应用软件连接到互联网上。McAfee旗下缺陷管理公司Foundstone的副总裁马克表示，OneCare防火墙中的缺省设置不是一个好主意。他在本周二接受采访时说，任何防火墙，任何安全设备的缺省配置都应当是“拒绝访问”，任何可能的门都应当是关闭的。

上周，OneCare开发团队在自己的博客中回应了Foundstone的专家提出的问题，微软的一名代表证实了博客的内容。OneCare中的防火墙确实允许有数字签名或采用了JVM的应用软件通过，而不会向用户提出警告，但这不应当被认为是安全威胁。OneCare开发团队在博客中写道，恶意软件不大可能有数字签名，如果软件有数字签名，其开发者就可以很容易地被发现。

微软表示，封杀Java将导致许多应用软件无法正常运行。应用软件每次通过防火墙时都要求用户确认会给用户带来很大麻烦。OneCare开发团队在博客中写道，如果有利用了JVM的恶意软件感染了PC，它就会被OneCare的反病毒组件发现。

据Foundstone的安全顾问格利姆斯称，广告件和间谍件开发商通常会“签署”它们的软件，数字签名能够使它们的软件看起来更可信赖。格利姆斯在其博客中说，恶意代码已经在利用数字签名将自己安装在用户的PC上，它们肯定还会利用数字签名躲避OneCare服务的监测。间谍件专家埃德曼也持同样的看法。他说，大多数恶意代码都有数字签名，获得数字签名相当地容易。这会使用户相信软件是安全的。