Серьезная уязвимость, недавно обнаруженная в Internet Explorer, подтолкнула сразу две компании к выпуску неофициальных патчей, быстро ставших популярными среди пользователей. Этот случай во всей остроте поднимает давнюю проблему защищенности и оперативности латания багов в браузере Microsoft.
Брешь, известная под именем create-TextRange, позволяет злоумышленнику запустить произвольный код на машине пользователя, заманив его на заранее подготовленную веб-страничку (по слухам, для привлечения к сайтам-ловушкам активно используется спам). Хотя Microsoft признала наличие критической дыры, патч вероятнее всего выйдет только в середине апреля вместе с плановым ежемесячным обновлением. Эта неторопливость отчасти связана с тем, что разработчики корпорации обязаны проверить пригодность заплатки для всех комбинаций разных версий Windows и Explorer, а также исключить возможные конфликты с разнообразнейшим ПО третьих фирм.
Разумеется, многие пользователи, особенно домашние, предпочли бы получить защиту от уязвимости как можно быстрее, не дожидаясь тестов на совместимость со сложными корпоративными системами. Microsoft давно упрекают в том, что она могла бы оперативно выпускать бета-версии заплаток, уже потом тщательно их шлифуя, однако эти призывы пока остаются без ответа. Конечно, свято место пусто не бывает: компании eEye Digital Security и Determina заполнили временный «вакуум» своими патчами, сделав себе отличную рекламу (только с сайта eEye утилиту скачали около ста тысяч пользователей). Но Microsoft этот «благородный порыв» осудила, порекомендовав воздержаться от инсталляции левых заплаток. Того же мнения придерживаются и многие независимые эксперты, в качестве решения предлагая отключить исполнение скриптов в браузере или временно избрать другой инструмент для веб-серфинга.
Есть, впрочем, надежда, что следующие версии браузера Microsoft будет «лечить» порасторопней. Корпорация, наконец, вняла просьбам пользователей и организовала систему ведения учета ошибок, аналогичную Bugzilla. Отныне любой человек, заинтересованный в улучшении Internet Explorer, может указать на баги, выявленные при работе с программой. База открыта на портале Connect и доступна всем владельцам учетной записи в системе Microsoft Passport. Правда, разработчики просят, чтобы баг-трекер использовался только для сообщений о работе с новым IE 7 (на данный момент представлен лишь бета-версиями). Пользователям релизов старого «разлива» приобщиться к коллективной работе над ошибками не удастся. — А.З.
Сразу два громких скандала, связанных с утечкой конфиденциальной информации, разразились в Азии.
Репортеры независимого сайта Webb-site.com, ведущие постоянный мониторинг корпоративных и государственных событий в Китае, откопали в Интернете любопытнейшую информационную базу. Она содержит персональные данные 20 тысяч человек, подавших в период 1996—2004 гг. заявления в гонконгский IPCC (Independent Police Complaints Council — Независимый совет для расследования действий полиции) с жалобами на злоупотребления и другие незаконные действия «компетентных органов». В Сеть попали даты обращений граждан, их полные имена и адреса, описания нарушений, сведения об обвиняемых полицейских, результаты рассмотрения жалоб и многое другое. Беглое журналистское расследование показало, что скорее всего база перекочевала в Интернет из-за банальной халатности ИТ-специалистов, обслуживающих сервер IPCC. В пользу этого предположения говорит и формат данных. Официальные лица пока хранят молчание, но правозащитники уже требуют крови ответственных и независимого аудита ИТ-безопасности организации. Тем временем пострадавшие, опасаясь мести полицейских, серьезно задумались о целесообразности дальнейших обращений в IPCC.
Второй скандал произошел в Японии, где компания NTT Data призналась в утечке персональных данных лишь семнадцати физических лиц, которые, правда, пострадали по полной программе. Нечистый на руку системный администратор скопировал из информационной системы компании номера кредитных карт жертв, пароли и прочие конфиденциальные сведения, которые позднее использовал для открытия и получения в банкоматах займов на чужие имена через финансовую фирму Orix Credit на общую сумму более 260 тысяч долларов. Примечательно, что инсайдер, 54-летний сотрудник ИТ-подразделения одного из партнеров NTT Data, выполнявшего заказные работы, сумел провернуть аферу дважды — в октябре 2005 и феврале 2006 года, после чего благоразумно исчез в неизвестном направлении. Полиции и службе внутренних расследований оставалось только объявить ловкача в розыск по всей стране.
Как отмечают российские борцы с инсайдерами из компании InfoWatch, оба случая укладываются в обычную канву подобных происшествий. Сотрудники или заранее планируют преступление и в последний момент исчезают из поля зрения правоохранительных органов, или банально нажимают не на ту кнопку. — Д.З.
Рынок поисковых систем в Сети давно поделен. Прошли те времена, когда для привлечения внимания широкой аудитории было достаточно организовать небольшой тематический каталог ресурсов. Сегодня у стартапов осталось не так уж много возможностей завоевать признание пользователей. Одна из них — специализация на конкретной тематике, позволяющая добиться более качественных результатов поиска. К таким системам, например, относится Krugle, индексирующий исходники и документацию открытых программ. Более сложный путь заключается в использовании альтернативного представления информации; именно по нему и пошла компания Pixsy, в конце марта запустившая новую версию своей системы.
Поисковик Pixsy.com примечателен отказом от привычной схемы: вместо вороха линков с куцыми комментариями на запрос выдаются фотографии и картинки, ассоциированные с соответствующими материалами в Сети. Таким образом, поиск сводится к выявлению ключевых визуальных образов. Для перегруженного информацией Интернета это весьма здравая мысль: картинки все же проще воспринимать, да и проблема языкового барьера становится менее острой.
База Pixsy пополняется из RSS-каналов, получаемых из самых разных источников: начиная с новостных лент авторитетных сетевых изданий и заканчивая блогами простых пользователей. Движок сервиса ищет графику в фидах и заносит ее в индекс с присвоением ключевых определений (конечно, из-за специфики сбора контента Pixsy больше подходит для поиска актуальной новостной информации). Кстати, графическими изображениями дело не ограничивается — к услугам юзеров также видеофрагменты, обнаруженные на популярных ресурсах.
Проект уже окупается за счет контекстной рекламы; кроме того, авторы Pixsy рассчитывают лицензировать ее сторонним заказчикам. — А.З.
Новомодный термин «блук», образованный от английских слов «blog» и «book», еще только входит в обиход, а авторы «блого-книг» уже успели обзавестись профессиональной литературной наградой (см. «КТ» #611). Отныне любой хозяин сетевого дневника, положивший свой онлайновый опус на бумагу, может претендовать на Блукеровскую премию (Lulu Blooker prize).
Первый в мире приз, присуждаемый блукам, вручается в трех номинациях — за лучшее произведение в жанрах «нон-фикшн», «беллетристика» и «комикс». Поиском лауреатов занимается тройка судей: писатель-фантаст, блоггер и веб-активист Кори Доктороу (Cory Doctorow, председатель жюри), главный редактор новостной сети OSTG Робин Миллер (Robin Miller) и поэт, а по совместительству куратор онлайновой библиотеки iBiblio Пол Джонс (Paul Jones). Несмотря на то что среди номинантов-2006 фигурируют представители всех континентов, «слоны» достались только американским литераторам. Каждый из них получил по тысяче долларов от щедрот генерального спонсора — онлайновой типографии Lulu.