Microsoft verbetert security SQL 2005
Microsoft heeft een aantal van de veranderingen in haar SQL 2005 database, die later dit jaar zou moeten verschijnen, bekend gemaakt. De nieuwe versie bevat tools om code mee te controleren, genaamd Prefix en Prefast. Dankzij de tools kan er automatisch naar veel voorkomende fouten, zoals buffer overruns, gezocht worden. Prexfix controleert de code voordat de database gebouwd is, Prefast doet dit na de compilatie. "Het is allemaal onderdeel van de strategie om platform ontwikkelaars security bij te brengen. Hoewel het mogelijk is om systemen te ontwerpen zonder features zoals ingebouwde wachtwoord bescherming, zullen de standaard opties security bewuster zijn. Een ontwikkelaar zou verschillende stappen moeten ondernemen en er bewust voor moeten kiezen om onveilige code te schrijven." aldus Detlef Echert van Microsoft. Onder de andere security verbeteringen bevinden zich het ondersteunen van meer encryptie protocollen en het versleutelen van specifieke velden in plaats van de hele data set. (VNU)
(ik snap alleen niet zo wat voor `code' er in een SQL-server
zou moeten zitten waarin buffer overruns kunnen voorkomen,
maar ik zal niet onder stoelen of banken steken dat ik nog
nooit met MS SQL gewerkt heb)
voor bufferoverruns. En welk programma maakt nou geen
gebruik van input?
Alle mogelijkheden tot input kunnen potentieel vatbaar zijn
voor bufferoverruns. En welk programma maakt nou geen
gebruik van input?
Klopt, maar het artikel schrijft over:
Prefix examines code before the database is built and
Prefast after compilation.
Die checkers checken dus niet de code van MS SQL zelf, maar
van code die door de gebruiker wordt aangeleverd, blijkbaar
om databases te maken.
Nu kunnen niet in iedere taal buffer overruns voorkomen: je
kunt bijvoorbeeld geen SQL-query opschrijven die een
buffer-overrun-vulnerability bevat. (hooguit een die een
buffer-overrun-vulnerability in de SQL-interpreter triggert,
maar dat is een bug in de interpreter, niet in de query. Die
fout vind je niet door naar de query te kijken, maar door
naar de interpreter te kijken).
Als niet-kenner vraag ik me af wat voor taal er nodig is in
MS SQL waarin buffer-overrun-vulnerabilities ueberhaupt voor
kunnen komen... (in de programma's in die taal dus, niet in
de compiler/interpreter voor de taal)
die presentatie in 2002)
http://research.microsoft.com/users/jpincus/
En de plannen het ook echt op de markt te brengen:
http://www.computerworld.co.nz/news.nsf/0/DE21CCB0DF897F93CC256D9C002129C6
Ziet er spannend uit. Als ze dit in hun `Visual'-suite weten
in te passen wordt dat een behoorlijke killer-app.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.