מהנדס Nokia חושף פגמי אבטחה לכאורה של Windows Store
למרות שמספר היישומים בחנות Windows ממשיך לגדול בקצב טוב, עדיין יש הרבה לבוא ולהראות שחנות האפליקציות של מיקרוסופט היא הזדמנות מצוינת למפתחים. לאלו של רדמונד מוטלת המשימה לשכנע אותם בכך, אבל חדשות כמו בימים אלה אולי לא יעזרו. ג'סטין אנג'ל, מהנדס שעובד עבור נוקיה, פרסם באתר שלו רשימת הוראות מפורטת לפיצוח אפליקציות Windows Store
מטרת המהנדס היא לפרסם שורה של טעויות המשפיעות על מכירת אפליקציות דרך החנות ובתוכם.בפתק שפורסם באתר האינטרנט שלו, שאינו נגיש יותר, הדגים המהנדס כיצד לפצח כמה משחקים בדרכים שונות שנעו מקבלת תוכן בחינם ועד לפתיחת תשלום רמות או להסיר מגבלות זמניות של תקופת הניסיון. הוא אפילו הוסיף כמה פשוטים כמו הסרת הקובץ המוצג פשוט על ידי עריכת קובץ XAML.
למרות שהדוגמאות שנבחרו מתאימות רק למשחקים, כל יישום אחר מחנות Windows עשוי להיות פגיע. המטרה של ג'סטין אנג'ל היא לחשוף בפומבי את פגמי האבטחה האלה כדי שמיקרוסופט תתקן אותם בהקדם האפשרי. הכוונה שלה היא שמפתחים יוכלו לייצר רווח מהיישומים שלהם כראוי, שעבורם הם צריכים פלטפורמה מאובטחת.
הבעיה טמונה בבירור מי אשם כאןלמרות שמהנדס נוקיה מצביע ישירות על מיקרוסופט, מרחיק לכת וכותב שאם הם לא מתקנים את פערי האבטחה האלה זה לא בגלל שהם לא יכולים אלא בגלל שהם בחרו שלא; ממיקרוסופט מציינים שהחולשות הללו משותפות לכל חנות אפליקציות שזה עתה התחילה ושניתן לפתור אותן בעזרת הקוד המתאים. הם גם טוענים כי נקטו במגוון אמצעי אבטחה נוספים וסיפקו מידע ב'מרכז הפיתוח' שלהם על טכניקות שונות שמפתחים יכולים להשתמש בהן כדי להגן על עצמם.
האפליקציות הנבדקות שמרו כנראה את הנתונים שלהם בצורה קלה לגישה, כמו גם את הבקשות שהם ביצעו. . בהתחשב בכך, אנשי מיקרוסופט זוכרים שמפתחים יכולים להגן על חלקים ספציפיים מהיישומים שלהם בשרת מרוחק או להצפין אותם כך שיוכלו להגן על קבצים קריטיים כפי שהם רואים צורך.
אם כן, לא נראה נכון להאשים את מיקרוסופט במה שתהיה רשלנות מצד מפתח האפליקציה על ידי אי שימוש באמצעי האבטחה העומדים לרשותה. הבעיה היא שאחד האפליקציות שג'סטין אנג'ל העמיד למבחן היה, לא יותר ולא פחות, 'שולה המוקשים' ('שולה המוקשים') מבית מיקרוסופט עצמה, שממנו הוא הצליח לחסל את . האם מיקרוסופט לא מילאה אחר ההמלצות שלה או שהבעיה בחנות באופן כללי? למי יש את הסיבה?
Via | Slash Gear | Engadget
