Microsoft verbetert security SQL 2005
Microsoft heeft een aantal van de veranderingen in haar SQL 2005 database, die later dit jaar zou moeten verschijnen, bekend gemaakt. De nieuwe versie bevat tools om code mee te controleren, genaamd Prefix en Prefast. Dankzij de tools kan er automatisch naar veel voorkomende fouten, zoals buffer overruns, gezocht worden. Prexfix controleert de code voordat de database gebouwd is, Prefast doet dit na de compilatie. "Het is allemaal onderdeel van de strategie om platform ontwikkelaars security bij te brengen. Hoewel het mogelijk is om systemen te ontwerpen zonder features zoals ingebouwde wachtwoord bescherming, zullen de standaard opties security bewuster zijn. Een ontwikkelaar zou verschillende stappen moeten ondernemen en er bewust voor moeten kiezen om onveilige code te schrijven." aldus Detlef Echert van Microsoft. Onder de andere security verbeteringen bevinden zich het ondersteunen van meer encryptie protocollen en het versleutelen van specifieke velden in plaats van de hele data set. (VNU)
(ik snap alleen niet zo wat voor `code' er in een SQL-server
zou moeten zitten waarin buffer overruns kunnen voorkomen,
maar ik zal niet onder stoelen of banken steken dat ik nog
nooit met MS SQL gewerkt heb)
voor bufferoverruns. En welk programma maakt nou geen
gebruik van input?
Alle mogelijkheden tot input kunnen potentieel vatbaar zijn
voor bufferoverruns. En welk programma maakt nou geen
gebruik van input?
Klopt, maar het artikel schrijft over:
Prefix examines code before the database is built and
Prefast after compilation.
Die checkers checken dus niet de code van MS SQL zelf, maar
van code die door de gebruiker wordt aangeleverd, blijkbaar
om databases te maken.
Nu kunnen niet in iedere taal buffer overruns voorkomen: je
kunt bijvoorbeeld geen SQL-query opschrijven die een
buffer-overrun-vulnerability bevat. (hooguit een die een
buffer-overrun-vulnerability in de SQL-interpreter triggert,
maar dat is een bug in de interpreter, niet in de query. Die
fout vind je niet door naar de query te kijken, maar door
naar de interpreter te kijken).
Als niet-kenner vraag ik me af wat voor taal er nodig is in
MS SQL waarin buffer-overrun-vulnerabilities ueberhaupt voor
kunnen komen... (in de programma's in die taal dus, niet in
de compiler/interpreter voor de taal)
die presentatie in 2002)
http://research.microsoft.com/users/jpincus/
En de plannen het ook echt op de markt te brengen:
http://www.computerworld.co.nz/news.nsf/0/DE21CCB0DF897F93CC256D9C002129C6
Ziet er spannend uit. Als ze dit in hun `Visual'-suite weten
in te passen wordt dat een behoorlijke killer-app.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
