《Office 2010帶給我們的五個(gè)安全教訓(xùn) - 電腦技術(shù)知識(shí)交流》由會(huì)員分享，可在線閱讀，更多相關(guān)《Office 2010帶給我們的五個(gè)安全教訓(xùn) - 電腦技術(shù)知識(shí)交流（2頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、Office 2021帶給我們的五個(gè)平安教訓(xùn) - 電腦技術(shù)知識(shí)交流 Office 2021帶給我們的五個(gè)平安教訓(xùn) 雖然仍然是測(cè)試版，但Office 2021不斷的給我驚喜。除了用戶界面更加適合于現(xiàn)實(shí)世界中的數(shù)據(jù)之外，微軟在平安性上也做出了另一個(gè)重大改良。最新版的Office結(jié)構(gòu)復(fù)雜，功能豐富，也成為了惡意軟件和其他平安隱患的目標(biāo)。由于巨大和多樣化的用戶群，微軟必須把平安考慮放在首位，因此即使是犧牲一些現(xiàn)有功能來(lái)?yè)Q取平安性也無(wú)可厚非。今年9月份曾經(jīng)有一個(gè)Office的0day，造成了一股掛馬風(fēng)。 　　然而，Office 2021的開發(fā)團(tuán)隊(duì)并沒(méi)有這樣做，他們給出了一套新的平安戰(zhàn)略，通

2、過(guò)分析過(guò)去的漏洞來(lái)了解漏洞是如何被利用的，還要如何做才能防止今后出現(xiàn)類似的情況。Office 2021基于五個(gè)根本準(zhǔn)那么建立了新的多層次的平安模型，這是任何一個(gè)開發(fā)者都應(yīng)該記住的： 　　1.在執(zhí)行之前驗(yàn)證所有用戶輸入 　　任何一個(gè)好的程序員都知道輸入驗(yàn)證是關(guān)鍵的步驟之一，未經(jīng)驗(yàn)證的文本框可能會(huì)導(dǎo)致緩沖區(qū)溢出、代碼注入攻擊和其他軟件缺陷。但往往程序員只考慮到驗(yàn)證表單字段、文本輸入框和其他用戶界面元素，而忽略了對(duì)文檔進(jìn)行驗(yàn)證。 　　Office 2021通過(guò)使用文檔模式庫(kù)來(lái)預(yù)先驗(yàn)證文檔，防止了不必要的平安問(wèn)題。新的Office將能夠識(shí)別特定的文件類型，在開始解釋代碼之前實(shí)施積極的平安措施，比

3、方在發(fā)現(xiàn)要翻開的文檔符合庫(kù)中的宏病毒的特點(diǎn)時(shí)會(huì)提早禁用宏功能。編者按：宏病毒、CIH病毒、蠕蟲病毒和木馬病毒四大類曾經(jīng)是計(jì)算機(jī)用戶的噩夢(mèng)，但到目前為止，除了CIH之外，另外三個(gè)依然在威脅網(wǎng)民的計(jì)算機(jī)平安。 　　2.查找隨機(jī)缺陷和不典型使用案例 　　精心設(shè)計(jì)的Use cases在軟件測(cè)試時(shí)至關(guān)重要，但即使是最好的質(zhì)量工程師也不能想到一切，錯(cuò)誤可能有時(shí)一些字節(jié)也會(huì)觸發(fā)這些bug。 　　Office團(tuán)隊(duì)使用一種叫做“模糊文件(file fuzzing)〞的技術(shù)來(lái)查找意外的使用情況。例如通過(guò)交換參數(shù)和改變字段內(nèi)容把文件模糊化處理，或者把隨機(jī)垃圾數(shù)據(jù)引入文件中。 　　理想情況下Office應(yīng)用應(yīng)

4、該能夠順利處理文件。但在最壞的情況翻開一個(gè)模糊文件會(huì)導(dǎo)致應(yīng)用崩潰，這時(shí)可能會(huì)檢測(cè)出平安漏洞。據(jù)微軟說(shuō)Office 2021處理模糊文件的能力超過(guò)Office 2007十倍。 　　3.不要相信第三方庫(kù) 　　和其他應(yīng)用一樣，現(xiàn)實(shí)中的Office文檔不僅僅包含簡(jiǎn)單的ASCII數(shù)據(jù)，它們可能還包含著圖片、音頻、視頻等等從其他應(yīng)用嵌入的數(shù)據(jù)。經(jīng)過(guò)多年對(duì)Office 2007的測(cè)試，微軟的工程師得出了出人意料的結(jié)論：他們發(fā)現(xiàn)嚴(yán)重的平安漏洞大多不是Office代碼本身的錯(cuò)，而是那些用來(lái)渲染JPEG、GIF和其他圖形的核心第三方代碼庫(kù)出現(xiàn)了問(wèn)題。 　　因此在Office 2021中微軟轉(zhuǎn)向了自己的圖像處

5、理庫(kù)Windows Imaging Component。對(duì)于其他應(yīng)用的開發(fā)者，這個(gè)教訓(xùn)再明白不過(guò)：絕不要認(rèn)為廣泛使用的第三方類庫(kù)是完美無(wú)缺的。 　　4.不要把平安措施推給用戶 　　非常多的桌面應(yīng)用喜歡使用對(duì)話框式的平安模型，在碰到問(wèn)題時(shí)詢問(wèn)用戶：“你的操作可能帶來(lái)平安風(fēng)險(xiǎn)，是否要繼續(xù)進(jìn)行(Y/N)?〞這種做法不僅懶惰而且危險(xiǎn)，因?yàn)樵谌狈θ魏斡幸饬x的指導(dǎo)下，普通用戶都會(huì)選擇“Yes〞，即使是更詳細(xì)的警告信息也不會(huì)有什么幫助。 　　Office 2021采取了積極主動(dòng)的做法。文件驗(yàn)證過(guò)程會(huì)在后臺(tái)進(jìn)行，而不是繼續(xù)使用對(duì)話框與用戶對(duì)抗，在用戶交互之前先進(jìn)行根底并且理性的后臺(tái)決策，增強(qiáng)了漏洞管理

6、 　5.選擇降一級(jí)的用戶體驗(yàn)，而不是全盤否認(rèn) 　　從前的Office遇到平安風(fēng)險(xiǎn)時(shí)用戶真正只有兩個(gè)選擇：無(wú)視威脅照常翻開文檔;或者再也不翻開文檔，這兩個(gè)都不是理想的選擇。 　　Office 2021試圖通過(guò)為用戶提供一種中立的立場(chǎng)。例如，如果Word 2021碰到文檔中包含有風(fēng)險(xiǎn)的宏，它會(huì)在翻開文件時(shí)停用宏。用戶仍然會(huì)得到一個(gè)警告消息，但無(wú)論如何文檔被翻開了，這時(shí)文本是可見的，但想要使用宏需要額外確實(shí)認(rèn)步驟。 　　這種“一半滿足用戶〞的哲學(xué)是新Office的平安模型中最重要的理念之一，在用戶和軟件的拉鋸戰(zhàn)之間建立一個(gè)折中的局面。通過(guò)新的漸進(jìn)的多層次平安模式，Office 2021試著與用戶建立起平安性的伙伴關(guān)系，這個(gè)教訓(xùn)任何應(yīng)用開發(fā)者都應(yīng)該牢記在心。 　　編者按：在文末順便再多說(shuō)一句，雖然大局部人都認(rèn)為Office沒(méi)有OpenOffice之類的免費(fèi)產(chǎn)品平安，但是法國(guó) 軍方卻認(rèn)為OpenOffice不比Office更平安，而持這種意見的人還有很多。