Інженер Nokia викриває ймовірні недоліки безпеки Windows Store

Хоча кількість програм у магазині Windows продовжує зростати хорошими темпами, їх ще багато попереду, щоб показати, що магазин програм Microsoft — це чудова можливість для розробників. У Редмонда є завдання переконати їх у цьому, але новини, подібні до цих днів, можуть не допомогти. Джастін Енджел, інженер, який працює в Nokia, опублікував на своєму веб-сайті докладний список інструкцій для злому програм Windows Store

Мета інженера — оприлюднити серію помилок, які впливають на продаж програм через магазин і всередині нього.У нотатці, опублікованій на його веб-сайті, який більше недоступний, інженер продемонстрував, як зламати кілька ігор різними способами, починаючи від отримання безкоштовного вмісту до розблокування платежу рівні або зняти тимчасові обмеження випробувального періоду. Він навіть додав кілька простих, наприклад видалення відображеного, просто відредагувавши файл XAML.

Хоча вибрані приклади відповідають лише іграм, будь-яка інша програма з Магазину Windows може бути вразливою. Мета Джастіна Енджела — публічно викрити ці недоліки безпеки, щоб Microsoft якнайшвидше виправила їх. Його мета полягає в тому, щоб розробники могли належним чином монетизувати свої програми, для чого їм потрібна безпечна платформа.

Проблема в тому, щоб з'ясувати хто тут виненХоча інженер Nokia прямо вказує на Microsoft, дійшовши до того, що написав, що якщо вони не виправляють ці прогалини в безпеці, це не тому, що вони не можуть, а тому, що вони вирішили цього не робити; У Microsoft зазначають, що ці вразливості є загальними для будь-якого магазину додатків, який щойно почав працювати, і що їх можна усунути за допомогою відповідного коду. Вони також стверджують, що вжили низку додаткових заходів безпеки та надали інформацію у своєму «Центрі розробників» щодо різних методів, які розробники можуть використовувати для захисту.

Тестовані програми очевидно зберігали свої дані у легкодоступний спосіб, а також запити, які вони виконували . Враховуючи це, співробітники Microsoft пам’ятають, що розробники можуть захистити певні частини своїх програм на віддаленому сервері або зашифрувати їх, щоб вони могли захистити критичні файли, як вони вважають за потрібне.

Якщо так, то звинувачувати корпорацію Майкрософт у недбалості з боку розробника додатку через невикористання доступних йому заходів безпеки було б неправильним. Проблема полягає в тому, що одним із додатків, які Джастін Енджел поставив на випробування, був, ні більше, ні менше, «Сапер» («Сапер») від самої Microsoft, з якого він зумів усунути . Майкрософт не дотримувався власних рекомендацій чи проблема взагалі в магазині? У кого причина?

Через | Slash Gear | Engadget