چهارشنبه ۱۹ مهر ۱۳۸۵ - ۱۶:۴۶

گروه علمی فرهنگی: شرکت گوگل به طور سهوی به متجاوزان آن‌لاین، ابزار جدیدی را اهدا کرده است.

کارشناسان امنیتی شرکت اعلام کردند، کد منبع جدید موتور جستجوی شرکت گوگل که به منظور آسان‌تر نمودن کار برای توسعه‌دهندگان توسط گوگل به عنوان ابزاری که می‌تواند در جستجوی باگ‌های نرم‌افزاری، اطلاعات رمز و حتی کد اختصاصی که نباید در نخستین مکان به اینترنت فرستاده شود، عرضه شده، می‌تواند مورد سوء‌استفاده قرار گیرد.
برخلاف موتور جستجوی اصلی وب گوگل، Google Code Search هر جا که فایل‌های کد منبع را در اینترنت پیدا می‌کند، در آن رخنه می‌نماید. این عمل، جستجوی کد منبع را به طور مستقیم برای توسعه‌دهندگان آسان‌تر خواهد کرد و ابزارهای منبع‌ بازی که ممکن است چیزی راجع به آنان ندانند را کشف کنند، اما زیان‌هایی را نیز در پی دارد.
مارک آرمیستد، قائم مقام مدیر تولیدات با کد منبع شرکت Fortify Software  گفت، جنبه منفی آن است که شما نیز می‌توانید آن نوع  جستجو را به منظور نظر به چیزهایی که آسیب‌پذیر هستند، مورد استفاده قرار دهید و سپس حدس بزنید که چه کسی ممکن است کد را استفاده کرده باشد و سپس از آن جهت حمله استفاده کنید. همچنین متجاوزان می‌توانند کد را برای آسیب‌پذیری‌ها در مکانیزم‌های اسم رمز جستجو کنند، یا عبارات بین نرم‌افزار مثل «این فایل شامل مالکیت اختصاصی است» را جستجو نمایند و احتمالا کد منبع را که نباید هرگز در اینترنت ارسال می‌شد  پیدا کنند.
کارشناسان امنیتی گفته‌اند که مفاهیم امنیتی Google Code Search اگر جهان را به شگفتی نیندازند حداقل قابل ملاحظه هستند.
جانی لانگ محقق شرکت Computer Sciences طی مصاحبه‌ای توسط پست الکترونیک گفت، نفوذگران زبردست هم اکنون ممکن است قادر باشند که این نوع از جستجو را با موتور جستجوی وب گوگل انجام دهند، اما Google  Search ابزار دیگری است که برای متجاوز کمی آنرا آسان‌تر می‌کند.
گوگل برای این بخش، چیز زیادی درباره استفاده نادرست احتمالی از محصول جدیدش ندارد که بگوید.
شرکت در بیانیه خود گفت، گوگل به توسعه‌دهندگان توصیه می‌کند تا عموما از شیوه‌های کد‌گذاری درست قبول شده که عبارتند از درک اشارات و مفاهیم کدی که آنان انجام می‌دهند و به طور مقتضی آزمایش می‌کنند، استفاده کنند. با اینکه گاهی اوقات مسئله‌ای پیش می‌آید، هیچگاه گوگل بیشتر از این در مورد گام‌هایی که به منظور کاستن از این نوع استفاده‌های نادرست از موتور جستجوی خود بر می‌دارد، توضیح نداده است.
در ماه جولای، شرکت Websense از قابلیت جستجوی باینری کمتر شناخته شده در موتور جستجو گوگل استفاده کرد تا در اینترنت بدنبال برنامه نرم‌افزاری مضر بگردد. لف‌توگر توسعه‌دهنده نرم‌افزاری شرکت Beyond Security گفت: هنگامی که Google Code Search احتمالا در پروژه‌های منبع باز عمومی که اکنون به طور بسیار دقیقی مورد بررسی قرار گرفته است، تاثیر کمتری خواهد داشت، می‌تواند به یافتن آسیب‌پذیری‌ها در قطعات کد کمتر شناخته شده کمک کند.
وی از طریق پست الکترونیک گفت: استفاده از Google Code Search، دریافتن کدهای جالب توجه بسیار آسان‌تر است. اگر وظیفه شما یافتن آسیب‌پذیری در برخی کدهای اتفاقی است، این فیلتربندی می‌تواند زمان زیادی را برای شما محفوظ نگه دارد.
کد خبر 5764

برچسب‌ها

دیدگاه خوانندگان

آخرین خبرهای بازار