شركت
گوگل به طور
سهوی به
متجاوزان
آنلاین،
ابزار
جدیدی را
اهدا كرده
است.
كارشناسان
امنیتی
شركت اعلام
كردند، كد
منبع جدید
موتور
جستجوی
شركت گوگل
كه به منظور
آسانتر
نمودن كار
برای توسعهدهندگان
توسط گوگل
به عنوان
ابزاری كه
میتواند
در جستجوی
باگهای
نرمافزاری،
اطلاعات
رمز و حتی كد
اختصاصی كه
نباید در
نخستین
مكان به
اینترنت
فرستاده
شود، عرضه
شده، میتواند
مورد سوءاستفاده
قرار گیرد.
برخلاف
موتور
جستجوی
اصلی وب
گوگل، Google Code Search
هر جا كه
فایلهای
كد منبع را
در اینترنت
پیدا میكند،
در آن رخنه
مینماید.
این عمل،
جستجوی كد
منبع را به
طور مستقیم
برای توسعهدهندگان
آسانتر
خواهد كرد و
ابزارهای
منبع بازی
كه ممكن است
چیزی راجع
به آنان
ندانند را
كشف كنند،
اما زیانهایی
را نیز در پی
دارد.
مارك
آرمیستد،
قائم مقام
مدیر
تولیدات با
كد منبع
شركت Fortify Software
گفت، جنبه
منفی آن است
كه شما نیز
میتوانید
آن نوع
جستجو را به
منظور نظر
به چیزهایی
كه آسیبپذیر
هستند،
مورد
استفاده
قرار دهید و
سپس حدس
بزنید كه چه
كسی ممكن
است كد را
استفاده
كرده باشد و
سپس از آن
جهت حمله
استفاده
كنید.
همچنین
متجاوزان
میتوانند
كد را برای
آسیبپذیریها
در مكانیزمهای
اسم رمز
جستجو
كنند، یا
عبارات بین
نرمافزار
مثل «این
فایل شامل
مالكیت
اختصاصی
است» را
جستجو
نمایند و
احتمالا كد
منبع را كه
نباید هرگز
در اینترنت
ارسال میشد
پیدا كنند.
كارشناسان
امنیتی
گفتهاند
كه مفاهیم
امنیتی Google Code Search
اگر جهان را
به شگفتی
نیندازند
حداقل قابل
ملاحظه
هستند.
جانی لانگ
محقق شركت Computer
Sciences طی مصاحبهای
توسط پست
الكترونیك
گفت،
نفوذگران
زبردست هم
اكنون ممكن
است قادر
باشند كه
این نوع از
جستجو را با
موتور
جستجوی وب
گوگل انجام
دهند، اما Google
Search ابزار
دیگری است
كه برای
متجاوز كمی
آنرا آسانتر
میكند.
گوگل برای
این بخش،
چیز زیادی
درباره
استفاده
نادرست
احتمالی از
محصول
جدیدش
ندارد كه
بگوید.
شركت در
بیانیه خود
گفت، گوگل
به توسعهدهندگان
توصیه میكند
تا عموما از
شیوههای
كدگذاری
درست قبول
شده كه
عبارتند از
درك اشارات
و مفاهیم
كدی كه آنان
انجام میدهند
و به طور
مقتضی
آزمایش میكنند،
استفاده
كنند. با
اینكه گاهی
اوقات
مسئلهای
پیش میآید،
هیچگاه
گوگل بیشتر
از این در
مورد گامهایی
كه به منظور
كاستن از
این نوع
استفادههای
نادرست از
موتور
جستجوی خود
بر میدارد،
توضیح
نداده است.
در ماه
جولای،
شركت Websense از
قابلیت
جستجوی
باینری
كمتر
شناخته شده
در موتور
جستجو گوگل
استفاده
كرد تا در
اینترنت
بدنبال
برنامه نرمافزاری
مضر بگردد.
لفتوگر
توسعهدهنده
نرمافزاری
شركت Beyond Security گفت:
هنگامی كه Google
Code Search احتمالا
در پروژههای
منبع باز
عمومی كه
اكنون به
طور بسیار
دقیقی مورد
بررسی قرار
گرفته است،
تاثیر
كمتری
خواهد
داشت، میتواند
به یافتن
آسیبپذیریها
در قطعات كد
كمتر
شناخته شده
كمك كند.
وی از طریق
پست
الكترونیك
گفت:
استفاده از
Google Code Search،
دریافتن
كدهای جالب
توجه بسیار
آسانتر
است. اگر
وظیفه شما
یافتن آسیبپذیری
در برخی
كدهای
اتفاقی
است، این
فیلتربندی
میتواند
زمان زیادی
را برای شما
محفوظ نگه
دارد.
همشهری
آنلاین
|