2007年7月15日 星期日

網際網路是新的作業系統

從殺手級應用到Web平台

CNET 新聞專區:Elinor Mills  13/07/2007

Facebook、Second Life、Google與Salesforce.com之間有什麼共同點?

他們都是從Web平台長出的應用,讓開發人員得以開發出更相容的應用,讓企業從平台的共生體系(ecosystem)上做生意。周四在《財星》雜誌舉辦的 第一屆iMeme:科技思想家(Thinkers of Tech)大會論壇上指出,這群公司的主管說,這是未來的浪潮。

「網際網路是新的作業系統。網際網路的殺手級應用是創建一個創新社群的平台,」客戶關係管理(CRM)線上軟體商Salesforce.com執行長Marc Benioff說。「這是我們產業全新的一頁。」

「平台的力量在於你可以讓你的核心產品更有價值,」他說。平台可以透過開放給外面的開發人員而延伸到新市場。例如,Thompson Financial與Dow Jones在Salesforce.com上的的應用開發忽然使該公司「變成金融服務市場的要角。」他說。

「我們取代了Siebel(CRM大廠);他們從未從殺手級應用跳到平台上;」Benioff說。「如果你不跳,你就不會變成像SAP或Oracle的大廠。」

Facebook應用爆增

坐在Benioff的是23歲的Mark Zuckerberg,他四年前在大學宿舍內成立了知名的Facebook社交網站。Facebook後來開放給外面的開發人員,並允許任何人都可以使用,最後更造會員的爆增。

「人們最自然與最有效的傳播是透過網友及朋友,」Zuckerberg說。「對我們來說,開放平台只是這個理論的下一步實踐。」

「我們將給你我們自己就在用的工具;我們將你的程式視為己出,」他說。

這種開放行動也很快有了回報。自五月底該公司開放平台後,Facebook上已釋出數千項應用。「比我們預期的成長速度更快。我們以為要一段時間,不過這個過程壓縮到一個禮拜左右。」

頭一個星期,第一批新應用的用戶已達百萬,半數以上會為Facebook貢獻一支程式,Zuckerberg說。

「我們還會持續開放,還有很多要靠開發人員來完成,我們也會給使用者開放更大權限,」他說。

Google 搜尋產品及使用者經驗部門副總裁Marissa Mayer同意前者說到在科技公司平台往往是自然生成的。搜尋引擎就是如此,它提供廣告系統讓任何有網站的人都可以靠網站賺錢。而Google也釋放小程 式(gadget),讓使用者可以放在Google及其他網站頁面上。另外,Google也簡化mashup製作,以及在上面包上其他資料的難度。例如 Google已釋出Google Gears,它是一種瀏覽器端的外掛元件,可讓使用者輕易開發離線執行的Ajax應用。

但Google的打算還不只是釋出開發工具,Mayer說。

「我們還有好多想法無法自己完成…因此開放出來是有必要的。畫龍點睛的一步是讓使用者在我們平台、伺服器上開發,」她說。不過這個作法過於複雜,因此「我們雖然有興趣,但還沒有太大進展,」她說。

知名虛擬線上互動遊戲「The Second Life」的開發者Linden Labs的執行長Philip Rosedale則提及,The Second Life及FaceBook之所以走紅是因為人們需要有個舒適的環境和別人互動。

「已有許多平台讓我們可以做現實生活做的事…而且速度快得不得了。」(鍾翠玲/譯)

清單 - 經營管理

編輯



◆ 經營管理 - 台灣

 ‧2013/12/09 大法官釋憲/責任制 須主管機關同意
 ‧2013/12/05 新苗的沃土,來自倒下的大樹
 ‧2011/02/20 政府修改資訊服務採購方式,可不訂底價採最有利標
 ‧2010/07/09 後ECFA 五大措施輔導中小傳產
 ‧2010/07/01 中國新法上路:網 路交易採實名制
 ‧2010/06/21 經濟部公告:零售 業等網路交易定型化契約應記載及不得記載事項
 ‧2010/03/30 個資法7月擴及無店面零售業,中小型業者吃不消
 ‧2007/07/13 對抗安全威脅 業者打風險管理牌



◆ 經營管理 - 中國大陸

 ‧2016/11/07 中國大陸網路安全法通過 (2017/06生效)
 ‧2016/11/07 羅世宏教授見解三部曲(01) (02) (03)



◆ 人事管理

 ‧2007/07/26 員工摸魚統計數據




◆ 公司經營相關法律

 ‧2015/04/27 閉鎖型公司,免開股東會
 ‧2014/05/26 社企雙法:「公益公司法」及「社會企業發展條例」
 ‧2010/09/08 新版個資法時程延後(連結)
 ‧2010/04/27 個人資料保護法通過 (連結至iThome online)




◆ 合約

 ‧2015/08/25 營業祕密:企業主和員工須知

.

對抗安全威脅 業者打風險管理牌

記者馬培治/台北報導  13/07/2007

面對更多變的惡意程式與企業內外部威脅,越來越多資安廠商不再只專注於「對付病毒」,而打算將戰場拉大,改打風險管理牌。

繼資安大廠賽門鐵克不再自我定位為資安公司,而是IT風險管理公司之後,另個資安廠商McAfee(邁克菲)今(13)日亦端出安全風險管理 (Security Risk Management, SRM)解決方案,強調在安全威脅更多樣化,以及企業資訊防外洩防護等新興安全需求下,只從防毒角度看待企業資安已不足夠,而應納入法規遵循與安全流程的概念,由風險管理的角度來看待資安議題。

McAfee並非首次唱出風險管理的口號,該公司早在去年10月便提出了安全風險管理的架構,如今則是端出整合成果,所有產品已陸續推出,而最重要的集中管理核心產品ePolicy Orchestrator(ePO) 4.0版本,則將在10月前推出,備齊該公司規劃的安全風險管理相關產品。

依照McAfee規劃,其安全風險管理是以ePO為管理核心,再包覆該公司定義的五階段流程:尋找弱點(find)、評估弱點 (evaluate)、政策實行(enforce)、安全防護(protect)與弱點修復(fix),每個階段並搭配該公司不同的安全產品,例如弱點評估管理系統Findstone、桌面安全產品Total Protection等,達成所謂安全風險管理的目標。

相較於賽門鐵克將風險管理的層次上拉至整個IT架構,加入系統可用性與應用效能兩個領域,McAfee所提出的安全風險管理架構,則僅及於資安與法規遵循兩個領域,涵蓋範圍較窄。

對此,McAfee技術顧問沈志明便說,該公司較專精於管控面向,故由自己的優勢出發,強調企業內、外部的安全,以及安全政策能否被徹底執行。他舉例道,過去企業資安僅重視防禦由外而內的「攻擊」,卻忽略由內而外的「資訊外洩」,透過該公司併購Onigma所取得的資料外洩防護技術(Data Loss Prevention),將可定義並執行資訊保護政策,並留下記錄以供稽核。

賽門鐵克與McAfee紛紛轉向風險管理領域,但趨勢科技則要專注在內容安全的領域。

不同於競爭者紛紛提出風險管理的發展策略、解決方案或顧問服務,趨勢科技則是投資在網頁威脅的安全防護技術。該公司CEO陳怡樺便曾說,與對手擴張領域的作法不同,趨勢科技選擇專注在資訊安全。

McAfee則認為,風險管理是趨勢,並更能解決企業需要。McAfee台灣暨香港區總經理陳聯便說,在新興威脅大量增加、變種多的抓不完的情況下,光談安全防護已嫌不足,他認為,惟有增加透過制定與落實安全政策的遵循機制,才能更有效協助企業降低安全風險。

微軟「Cloud OS」初具雛形

CNET新聞專區:Ina Fried  13/07/2007

微軟正初步考慮對開發人員開放基本的網際網路服務。此舉將把微軟在PC桌面上扮演的角色延伸到網際網路上:提供應用程式與基本平台及工具,以便開發者打造自己的產品。

除了提供現有的電子郵件、即時通訊(IM)等服務外,微軟也將提供核心的基礎設施服務,例如儲存和提示(alerts),以便開發者在這些基礎上建構自己的產品。這套系統先前有人稱之為「雲作業系統」(Cloud OS),但恐怕不是微軟想公開使用的正式名稱。

Windows Live總經理Brian Hall說:「以雲(Cloud)為中心,或許是更好的說明方式,因為Cloud OS聽起來令人覺得好像在雲上漂浮似的。許多的資料,許多的應用程式,許多有意思的東西,都在周邊。他們在PC上,在Xbox上,在電話上。」

微軟本周還透露,將在網際網路上扮演與電腦桌面上相同的角色,也就是提供自家的應用程式與基本的平台和工具,讓開發者能利用這些資源建構自己的產品。

微軟執行長Steve Ballmer在全球合作夥伴大會上致詞時承諾,微軟今年稍後會向開發者說明第一版微軟開發者平台的細節;這個平台目前已提供測試版。Hall進一步表示,微軟打算開放這項支撐Windows Live及微軟基本架構的技術。

Hall對台下聽眾說:「我們的,就是你們的。」

大約一年半前,也就是2005年11月在舊金山舉行的一場會議中,微軟董事長蓋茲首度宣布上述計畫。此後,微軟軟體架構長Ray Ozzie就帶領一隊人馬,著手把微軟的網際網路業務從一系列個自獨立的服務,轉化為一套更協調統一的服務,服務型態也從原先只由微軟提供,轉變成可由微軟直接提供或透過微軟合作夥伴提供。

在今年的Mix '07展示會上,負責擘畫Live策略的Ozzie談到如何讓程式設計師存取微軟的一些高階服務,例如Windows Live Spaces。但當時他對是否開放基礎開發平台一事,大致保持沉默。

Ozzie當時接受CNET News.com專訪時說:「此時,在那方面,還無可奉告。但是,顯然我們會開始動手做一些東西。」

今年6月下旬,微軟推出兩項新的Windows Live Services,一種服務用來分享照片,另一種服務用來分享各種類型的檔案。雖然這些服務今天都由微軟直接提供,但由此可窺見微軟承諾將來對開發者開放的服務會是什麼模樣。

微軟表示,計畫開放的基礎設施元件包括:提示、聯絡人管理(contact management)、通訊(郵件與即時通訊),以及認證(authentication)。

Hall說:「Windows Live是可供我們合作夥伴使用的一個平台。」但事實上,目前還沒到這種階段。微軟已有兩種元件以商業版面目提供,例如微軟Virtual Earth服務。其他元件有的分發給廣大開發人員測試,有的則限制測試者人數。另有一些元件尚未提供給開發者。例如,即時通訊預定在10月間開放給眾多開發者測試。

「貨真價實的電腦科學挑戰」

微軟面臨的一大挑戰,是設法撰寫軟體工具,讓開發者能在編碼時不需顧慮到支援的平台是手機還是PC、不需顧慮檔案存在本機還是存在「雲」中,也一樣能存取服務。

Hall說:「這是貨真價實的電腦科學挑戰,必須做全盤規畫,顧慮到如何搜尋並管理各種裝置,如何存取裝置,如何用透明的方式來做,讓開發者一目瞭然。」

他拿早期的Windows作比方。

Hall說:「早期Windows做的大致是記憶管理、儲存等等如今我們已視之為理所當然的事情。如今,絕大多數開發者不會去想,如何把這一則資料儲存在記憶體裡? 這自然而然就辦到了。同理,相同的進展過程也會發生在mesh模型上。」

微軟也將設法確定微軟的商業條件有足夠的魅力,能吸引明日的MySpace或YouTube向微軟的技術靠攏。微軟已費時數月,向現有的合作夥伴、創投公司與新創公司宣揚這項技術。

就目前而言,微軟免費提供的許多服務可供多達100萬人使用。微軟表示,如果服務吸引的人數超過這個門檻,希望能簽署某種合約。

Hall說:「如果這項服務在商業上大為成功,我們希望做一些價值交換,但我們會給合作夥伴相當大的空間。」

在打造基礎核心服務的同時,微軟也將對合作夥伴開放一些應用程式,例如 Windows Live Hotmail、Windows Live Messenger和Spaces部落格工具。(唐慧文/譯)

祕密搶占 CPU 資源的妙法

Secretly Monopolizing the CPU Without Being Root

http://it.slashdot.org/it/07/07/11/1421209.shtml

在今年度的 Usenix 的安全座談會上(http://www.usenix.org/events/sec07/tech/tech.html
有篇論文(http://www.cs.huji.ac.il/~dants/papers/Cheat07Security.pdf) 實做了一種 "作弊" 工具,它能允許非特權使用者執行他們的程式,例如:下 'cheat 99% program' 這樣的指令,也因此確保他們的程式能取得 CPU 99%的資源(譯註:論文說你想要佔幾 % 都可以),不管事否有其他程式正在執行,而且在某些例子中(如 Linux),它以某種方式讓程式無法被某些 CPU 監測工具(如 top)發現(譯註:透過 cheat 執行的程式看起來跟一般沒有兩樣)。

該工具專門使用標準界面(API),而且可以被任何沒有特權程式設計新手輕易實作出來。由於最近大家都在戮力增進對於多媒體應用的支援,因此讓系統更容易遭受攻擊。當前所有流行的作業系統,除了 Mac OS X 之外,都容易受到它的傷害,即便如此,這篇 kerneltrap 的報導顯然指出 (http://kerneltrap.org/node/8059)

※ 相關報導:


* Secretly Monopolizing the CPU Without Superuser Privileges
http://www.cs.huji.ac.il/~dants/papers/Cheat07Security.pdf

Abstract

We describe a "cheat" attack, allowing an ordinary process to hijack any desirable percentage of the CPU cycles without requiring superuser/administrator privileges. Moreover, the nature of the attack is such that, at least in some systems, listing the active processes will erroneously show the cheating process as not using any CPU resources: the "missing" cycles would either be attributed to some other process or not be reported at all (if the machine is otherwise idle). Thus, certain malicious operations generally believed to have required overcoming the hardships of obtaining root access and installing a rootkit, can actually be launched by non-privileged users in a straightforward manner, thereby making the job of a malicious adversary that much easier. We show that most major general-purpose operating systems are vulnerable to the cheat attack, due to a combination of how they account for CPU usage and how they use this information to prioritize competing processes. Furthermore, recent scheduler changes attempting to better support interactive workloads increase the vulnerability to the attack, and naive steps taken by certain systems to reduce the danger are easily circumvented. We show that the attack can nevertheless be defeated, and we demonstreate this by implementing a patch for Linux that eliminates the problem with negligible overhead.

"藍藥丸" 創造出絕對無法被偵測的惡意軟體

微軟 .NET 修補可能導致 PC 錯亂

Microsoft .NET Patch May Make PCs Go "Haywire"

http://developers.slashdot.org/developers/07/07/13/1227225.shtml

有許多人回報,本週二微軟替 .NET 推出的 MS07-040 修補程式(http://www.microsoft.com/technet/security/Bulletin/MS07-040.mspx)
會導致各種表面上看似無關的問題(譯註:下文章因不明原因被移除,http://www.computerweekly.com/Articles/2007/07/10/225467/microsoft-july-updates-for-critical-excel-windows-and-.net.htm

根據 SANS Internet Storm Center,"我們到目前為止所收到的回報,看來在每個案例中所發生的事情都不盡相同,總歸一句,就是有很多東西變得錯亂。" 在 The Register 報導的評論中某人還指出這個修補無法安裝。(http://www.theregister.co.uk/2007/07/12/ms_patch_problems/comments/
其他奇奇怪怪的情況還包括:滑鼠突然不得動彈,或是持續哀號一段時間。在某些情況下,冷開機似乎能解決這個問題,不過其他人則指出需要重新安裝 .NET framework。

這些問題很可能與 MSCORSVW.EXE 這個程序有關:(Why .NET Framework process uses 100% CPU,http://searchwincomputing.techtarget.com/tip/0,289483,sid68_gci1225866,00.html
該程序在修補程式下載後,會重新編譯所有 .NET 套件。雖然重新編譯是在背景中執行,不過這種重新編譯會佔掉 100% 的 CPU 資源。(譯註:根據那篇文章,其中的解決方法是在 .NET 的執行目錄中下 ngen.exe executequeueditems (http://msdn2.microsoft.com/zh-tw/library/ms165074(VS.80).aspx

這個指令,若 CPU 之後數分鐘內依然滿載,可能得要重裝 .NET 了)所以有人打趣的說,是不是微軟率先發表那個會偷偷用掉 CPU 資源的工具...

※ 相關報導:

祕密搶占 CPU 資源的妙法

危險的 Java 瑕疵影響層面廣大

Dangerous Java flaw threatens virtually everything

http://www.zdnetasia.com/news/security/0,39044215,62028389,00.htm

By Liam Tung, ZDNet Australia Friday, July 13 2007

Google 的安全小組在 Sun Java Runtime Environment 當中發現弱點,那將威脅所有平台、瀏覽器甚至是行動裝置。

"事情就是這麼糟," Chris Gatford 說,來自於滲透測試公司 Pure Hacking 的安全專家。

"那是一個相當重大的缺點,如果 exploit 程式很快有結果的話,將會產生相當大的衝擊。它將影響許多組織與使用者," Gatford 表示。

AusCERT 分析師 Robert Lowe 警告,任何使用 Java Runtime Environment (JRE)或 Java Development Kit(JDK) 的人都有危險。

"要經由此法遞送 exploits 對於攻擊者來說相當具有吸引力,因為即使瀏覽器經過全面修補,某些人還是會忽略掉修補那些會被瀏覽器呼叫,以呈現某些特定內容程式," Lowe 說。

根據 Gatford,這些臭蟲會威脅幾乎是每樣現代裝置。

"Java 可在任何東西上執行:手機、PDAs,與 PCs。當你在某些如此模組化的東西出了紕漏,就會是個問題 -- 它可以影響很多不同類型的裝置。"

"同樣地,這個 exploit 在呼叫一個有弱點的 JRE 時,也是獨立於瀏覽器," Gatford。

Gatford 表示,該問題會因為企業修補 JRE 漏洞的機會渺茫而更加惡化。

"想要透過組織化的嘗試來修補遍及整個企業的 Java Runtime 將會是件相當困難且費力的程序," 他說。

※ JRE 或 JDK 在部署或移除上不怎麼方便,之前的版本若沒刻意整理,還是會留在系統上。這二個漏洞的內容如下,目前 Sun 已經證實修補完畢,只要安裝最新版的 Java SE 6 update 2 即可。

* Sun says Java flaw has been patched | CNET News.com(節錄)
http://news.com.com/2100-1002_3-6196493.html

One flaw demonstrated in Evans' advisory shows an integer
overflow in a JPEG image. Documented in CVE-2006-2788, this
affects Sun Java Development Kit (JDK) before versions
1.5.0_11-b03, 1.6.x and 1.6.0_01-b06.

A second demo shows a local file being opened via the BMP image
parser. This was documented in CVE-2006-2789 and affects Sun Java
Development Kit (JDK) before versions 1.5.0_11-b03, 1.6.x and
1.6.0_01-b06 on Unix and Linux systems.

Sun spokeswoman Jacki DeCoster recommends that consumers go to
Java.com and download Java SE 6 update 2, installing the latest
version of the Java Runtime Environment. Additional information
about the specific patches related to these vulnerabilities can
be found on the company's SunSolve site.

* #102934: Security Vulnerabilities in the Java Runtime
Environment Image Parsing Code May Allow a Untrusted Applet to
Elevate Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102934-1

QuickTime 處理 Java 漏洞危及瀏覽器
Firefox 與 IE URI handler 出現問題