Microsoft: la sicurezza si legge

La stessa musa che ha ispirato la nascita del Trustworthy Computing ha guidato la penna di Microsoft nella stesura di alcune linee guida per rendere più sicuri i propri prodotti, fra cui Windows 2000, IIS e SQL Server


Redmond (USA) – A un anno esatto dal varo dell’iniziativa Trustworthy Computing , Microsoft si appresta a lanciare la seconda fase di quel piano a lunga scadenza attraverso cui ha promesso di focalizzare la propria attenzione sui problemi della sicurezza e della privacy, inclusa la dura battaglia contro i bug di sicurezza.

Fra i nuovi progetti contemplati dalla nuova strategia di sicurezza vi è la pubblicazione di nuove linee guida che aiutino utenti, amministratori di sistema e OEM a configurare al meglio i propri sistemi affinché siano meno vulnerabili agli attacchi informatici. Questo sforzo si è di recente concretizzato con la pubblicazione di una guida on-line di 20 pagine intitolata “Costruire e configurare siti Web più sicuri”.

La guida, consultabile gratuitamente sul sito MSDN (in inglese), spiega nei dettagli le procedure seguite dai tecnici Microsoft per mettere a punto una soluzione che durante la competizione OpenHack 4 , ha resistito con successo a 82.500 tentativi di attacco.

Nella sua nuova guida, Microsoft descrive le best practices che sviluppatori e amministratori di sistema dovrebbero adottare per rendere più sicure le proprie soluzioni Web basate su Windows 2000, Internet Information Services 5.0, SQL Server 2000 e.NET Framework, le stesse applicazioni di cui si è avvalso il big di Redmond per affrontare la competizione tenutasi lo scorso autunno.

Gli argomenti contemplati dalla guida vanno dalle form per l’autenticazione alla criptazione dei dati sensibili, dalle voci del registro utilizzate per “blindare” Windows 2000 allo standard IPSec, dall’amministrazione remota via VPN alla protezione dei database.

Questo documento ben si sposa con quell’imponente guida di oltre 600 pagine che lo scorso novembre Microsoft dedicò agli sviluppatori che intendano costruire Web service sicuri servendosi di ASP.NET. Anche questa pubblicazione può essere consultata gratuitamente, in lingua inglese, sul sito MSDN .

Fra i nuovi progetti che stanno impegnando la Security Business Unit di Microsoft vi è la creazione di una serie di linee guida sulla sicurezza chiamate “Prescriptive Architectural Guidance”. Attraverso questa sorta di prontuario, Microsoft spera di offrire agli IT manager, e in particolare ai grossi OEM come Dell e HP, un riferimento ufficiale per la configurazione di sistemi basati su Windows 2000 che meglio rispondano alle esigenze di sicurezza dei singoli clienti: la guida fornirà suggerimenti sui servizi che è opportuno attivare o meno e tenterà di spiegare il delicato rapporto fra funzionalità, sicurezza e compatibilità.

Microsoft ha affermato che simili linee guida potrebbero essere rilasciate, più avanti nel tempo, anche per Windows XP.

Il gigante di Redmond sostiene come la maggiore difficoltà in questo campo sia l’impossibilità di trovare un modello di sicurezza univoco e adatto per tutte le esigenze. Questo rende necessario, secondo Microsoft, un incessante lavoro per la stesura di linee guida e documentazione che possa aiutare i clienti a raggiungere un adeguato livello di sicurezza compatibile con la propria struttura informatica e i propri servizi.

Più facile, secondo Microsoft, è invece definire un modello attraverso cui classificare il livello di privacy delle applicazioni. Un primo passo verso questa direzione è dato dalla recente creazione del “Privacy Health”, un indice che Microsoft utilizzerà per misurare l’aderenza delle proprie applicazioni ad un insieme di canoni fondamentali per la riservatezza e la protezione dei dati.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Si sentiva la mancanza.....
    "Se un cliente utilizza il sistema per aggirare i filtri antispam - ha dichiarato uno dei manager dell'azienda - noi andremo a chiederli come ha recuperato quegli indirizzi, quale ne sia la fonte e quale il metodo di opt-in utilizzato per ottenere il consenso all'invio". ..... e poi c'era la marmotta che confezionava la cioccolata.....Quand'e' che aziende del genere verranno ritenute illegali?
  • eymerich scrive:
    Ma a chi serve?
    Non ho mai visto una mailing list o una mail commerciale legittima avere problemi a passare attraverso i filtri anti-spam ...A chi serve veramente questa roba? E perchè?Mah ...
    • TeX scrive:
      Re: Ma a chi serve?
      - Scritto da: eymerich
      Non ho mai visto una mailing list o una mail
      commerciale legittima avere problemi a
      passare attraverso i filtri anti-spam ...

      A chi serve veramente questa roba? E perchè?Ovvio.... agli spammer... solo che questo non lo possono dire...
    • Vaira scrive:
      Re: Ma a chi serve?
      A me è capitato, spedendo una mail con la fattura mensie ad un cliente, che il loro server la respingesse perchè il mio indirizzo libero.it rientrava in uno dei loro filtri anti spam.Comunque è bastato comunicarlo al loro sistemista per risolvere il problema.
      • eymerich scrive:
        Re: Ma a chi serve?

        server la respingesse perchè il mio
        indirizzo libero.it rientrava in uno dei
        loro filtri anti spam.Ma davvero c'é qualcuno che filtra sugli indirizzi del mittente?
        sistemista per risolvere il problema.Sistemista? ...
Chiudi i commenti