Новости про Microsoft и Интернет и сети

Ранее в Рэдмонде уже говорили, что заблокируют сертификаты безопасности, подписанные с использованием SHA-1 с 1 января 2017 года, однако теперь эта дата смещается на июнь.

С этим алгоритмом безопасности имеются проблемы. Исследователи доказали, что поддельный сертификат цифровой подписи может иметь тот же SHA-1 хэш, что и легальный. После подтверждения безопасности поддельным сертификатом пользователи могут передать свою персональную информацию на подставной сайт.

Программный менеджер Microsoft Кайл Пфлуг написал в своём блоге, что Рэдмонд будет координировать свои работы с разработчиками браузеров, чтобы изучить влияние этого процесса на основе данных телеметрии. Что касается Mozilla, то на фоне недавних атак фирма решила прекратить приём сертификатов SHA-1 SSL с июля 2016 года.

Сложно рассказать что-то новое о кнопке «поделиться». Увидев одну из них, вы можете смело считать, что видели их все. Как и прочие подобные решения, кнопка Skype может быть легко встроена в страницу с различными конфигурациями, позволяя не нарушить основной дизайн. Microsoft даже разработала небольшой мастер настройки кнопки, который в конце своей работы выдаёт код вставки для разработчиков с уже настроенными элементами.

То, как выглядит и как работает новая кнопка можно посмотреть на сайте msn.com.

Наши коллеги провели тесты различных настроек приватности и установили, что даже при использовании оффлайн аккаунтов в Windows 10, некоторая индентифицирующая информация всё-таки передаётся, в частности, связанная с OneDrive. В другом случае, номер ID был отправлен в загадочную сеть доставки контента. В некоторых случаях, отправленная информация даже обходила безопасные прокси-серверы.

В другом примере показано, что даже с выключенным помощником Cortana, поиск в меню пуск будет отправлять запросы в Bing. Похоже, что данная информация непосредственно связана с Cortana, что странно, ведь эта информация бесполезна при отключенном помощнике с искусственным интеллектом.

В целом статья даёт понять, что  большая часть информации, отправленной на серверы Microsoft, безвредна. Это хорошо. Плохой во всей этой истории сам факт того, что если кто-нибудь решит приложить дополнительные усилия, чтобы обезопасить свой компьютер, сама ОС может проигнорировать эти настройки или использовать обходные способы отправки информации куда угодно. При этом сама Microsoft решает, какую информацию можно отправлять, хотя, очевидно, это должна быть прерогатива пользователя.

По сути, новый сервис является базовой версией популярного клиента, доступной из браузера. Если вы захотите с его помощью совершить аудио или видеозвонок, то вам придётся скачать и установить плагин для соответствующего браузера и операционной системы. Тем не менее, сервис ещё находится на этапе бета тестирования, так что пока не все браузеры и операционные системы поддерживаются.

Кроме того, Microsoft отмечает, что сейчас ещё нет поддержки Skype for Web для  Chrome OS. В этой системе работает только сервис мгновенных сообщений, однако в будущем фирма планирует исправить сложившуюся ситуацию для этой платформы Google.

В будущем же фирма хочет вообще отказаться от необходимости установки расширений для интернет обозревателей благодаря использованию технологии ORTC (Object Real-Time Communications), для чего тесно сотрудничает с Google и другими компаниями. Однако это вопрос отдалённого будущего, и сейчас Skype for Web доступен лишь с плагинами.

Изначально ActiveX был представлен в 1996 году, позволяя исполнять собственные технологии Windows внутри веб страниц, а также для обеспечения некоторых средств безопасности. Данный API давно потерял актуальность, и софтверный гигант уже много лет сообщал о возможном прекращении его поддержки, в связи с высокими рисками безопасности этой платформы. Среди других технологий, от которых решила отказаться компания, оказались Browser Helper Objects и VBScript.

В своём блоге Microsoft сообщила, что в ActiveX больше нет нужды из-за широких возможностей HTML5. В связи с закрытием проекта Internet Explorer, Microsoft удалит 220 тысяч строк старого кода и более 300 интерфейсов.

Несмотря на то, что ActiveX безвозвратно устарел и совершенно не важен для большинства пользователей, этот протокол в Южной Корее по-прежнему используется как процессор безопасности при совершении платежей, причём происходит это на законодательном уровне. Да и в России многие клиент-банки используют ActiveX как обязательный протокол. ИТ индустрия Кореи объявила о разработке новой системы обеспечения безопасности платежей, построенной без использования ActiveX, однако эта система будет готова лишь в 2017 году.

Всё что для этого нужно — это посетить промо страницу, войти в систему и проверить наличие учётной записи Dropbox. Кроме проверки в вашем облаке Dropbox появится и PDF файл «Getting Started with OneDrive».

За последний год компания Microsoft внесла множество улучшений в хранилище OneDrive. В июне прошлого года компания увеличила бесплатный объём с 7 ГБ до 15 ГБ. Четырьмя месяцами позднее было позволено обычным, не бизнес, клиентам загружать файлы объёмом выше 10 ГБ (ранее было доступно 2 ГБ) посредством приложения для рабочего стола в операционных системах Windows и Mac, мобильных приложений и через веб сайт OneDrive.

В сентябре компания предоставила возможность увеличить объём хранилища вдвое при условии включения автоматической загрузки на этот сервис снимков с камеры смартфона. Не остались в стороне и корпоративные пользователи. Для них был предоставлен неограниченный объём для хранения данных при условии подписки на Office 365 редакций Home, Personal и University.

Разработка данной технологии не вызывает удивления, поскольку Sony приобрела компанию Gaikai, занимающуюся вещанием игр, ещё несколько лет назад, что поставило Рэдмонд в невыгодное для себя положение по сравнению с конкурентом.

Из того что узнали наши коллеги из Neowin можно заключить, что софтверный гигант уже находится на этапе прототипирования и подготовки концепции этапов тестирования. Также сообщается, что технология не будет привязана к браузеру Internet Explorer, так что её можно будет воспользоваться в любом окружении.

Тем не менее разработка пока находится на раннем этапе, также пока нельзя с уверенностью говорить о том, что же компания намеревается делать с этой разработкой и как планирует развивать её в будущем. Безусловно, возможность играть в игры для Xbox 360 в браузере на новой консоли полностью решит проблему совместимости старых игр и новой приставки, вот только совершенно не ясно, как компания будет зарабатывать на этом деньги. Дело в том, что разработка системы такого масштаба не может быть дешёвой, кроме того, для поддержания работы игр необходимы серверы, а значит, капитализация будет неотъемлемой частью будущего сервиса вещания игр.

Уязвимость позволяет атакующим отключить продукты безопасности Microsoft, разместив на компьютере жертвы специально подготовленный файл, заставив скачать его из Интернета, отправив по почте или через сервис мгновенных сообщений.

Уязвимость находилась в движке защиты от вредоносного ПО, который является основой для многих продуктов безопасности Microsoft для настольных систем и серверов. Он входит в такие приложения как Microsoft Forefront Client Security, Microsoft System Center 2012 Endpoint Protection, Microsoft Malicious Software Removal Tool, Microsoft Security Essentials, Windows Intune Endpoint Protection и Windows Defender, которые поставляются с предустановленными операционными системами Windows Vista и более новыми.

Сам же софтверный гигант отметил «важность» этой уязвимости, что значит, что она может быть использована для доступа к данным или ресурсам процессора пользователя, однако для этого пользователю необходимо «помочь» злоумышленнику.

В случае если хакеру удалось достичь своей цели, Microsoft Malware Protection Engine прекращает мониторинг повреждённой системы. В целом, получить доступ к компьютеру оказывается достаточно сложно, поэтому случаев использования данной бреши в системе безопасности пока не зафиксировано.

Компания Microsoft сообщила, что клиенты Azure могут заметить, что виртуальные машины, развёрнутые в Северной Америке, могут считать, что они находятся в другом месте, при этом браузеры показывают международные версии сайтов, а не американские.

Причина такого поведения виртуальных машин кроется в том, что адресное пространство IPv4, выделенное для США, было полностью использовано, и больше нет возможности их назначить для пользователей Северной Америки.

Старший менеджер программ, Ганеш Сринивасан, в блоге Microsoft сообщил, что компания использовала адреса IPv4, которые доступны ей по всему свету, для расположения новых сервисов.

«Мы будем использовать адресное пространство IPv4 связанное с регионами отличными от США, для адресации сервисов, которые должны быть в США. Невозможно перенести регистрацию, поскольку адресное пространство зарегистрировано Комитетом по цифровым адресам в Интернете».

Компания Microsoft также сообщила, что работает с базами данных IP, и ищет возможности для решения этой проблемы. Компания приобрела транш IPv4 адресов три года назад за 7,5 миллионов долларов, однако их не хватило на долго. Возможно, пришло время переводить сервисы на IPv6?

Чтобы снизить риски возникновения подобных ошибок в будущем, Linux Foundation анонсировала организацию новой группы, которая должна помочь предотвратить возникновение новых проблем, подобных Heartbleed .

В эту группу, названную Core Infrastructure Initiative, вошли ряд компаний, включая таких гигантов как Microsoft, Google, Intel, Amazon, Facebook, Dell, IBM. Основной целью группы станет помощь членам ассоциации свободного ПО в проектах, которым требуется поддержка, и первостепенной задачей станет помощь OpenSSL. Члены Core Infrastructure Initiative постараются вложить в проект средства, чтобы повысить его безопасность, наряду с ускорением выпуска патчей.

По поводу присоединения к группе компания Microsoft, в лице директора по программной безопасности Стива Липнера, сообщила: «Безопасность — это вопрос, касающийся всей отрасли и требующий сотрудничества всей отрасли. Core Infrastructure Initiative согласуется с нашим участием в проектах с открытым исходным кодом и улучшении в разработке безопасности во всех платформах, устройствах и сервисах».

Кроме членов-участников группы каждый имеет возможность помочь повысить безопасности финансово. Эти средства будут использованы Linux Foundation и/или проектом Core Infrastructure Initiative.