Учитывая все еще более чем скромные успехи Windows Phone, Microsoft, казалось бы, должна быть крайне осторожна в своих действиях на мобильном рынке. Как говорится, одно неловкое движение - и... И уж никак не разбрасываться очевидными достижениями.

Совсем недавно Microsoft вдоволь наслушалась похвал за оперативное и предсказуемое обновление всех терминалов до Mango. Корпорация сумела и свои проблемы преодолеть (на примере NoDo), и уж тем более на голову превзойти Android (а перед iOS подобные проблемы не стоят). Был даже создан специальный раздел сайта Where's my phone update?, где каждый мог проследить за судьбой обновления именно для его смартфона.

И вот, после первого же успеха, от этой идеи решено отказаться. Мол, мы растем, нам некогда, следите за общей информацией. И тут же, что в последнее время уже становится плохой традицией, другой представитель корпорации был вынужден объясняться более подробно. Но тоже не слишком убедительно. В целом проблема понятна: растет число стран, где продаются Windows Phone, растет разнообразие терминалов, растет и количество сотрудничающих сотовых операторов. Однако тут же обещается сохранить с последними самое тесное сотрудничество и выпускать обновления максимально оперативно.

Явно что-то не сходится: раз можно контролировать выпуск обновлений по всей экосистеме, то что мешает периодически публиковать срез текущего состояния дел? Ну да, наверное придется придумать какую-то организацию списка, соответствующим образом переделать странички и пр. - но это далеко не сверхзадача. Пока же все выглядит по классику: шаг вперед, два назад.

Открытая свободная ОС давно уже доказала свою состоятельность в определенных сегментах ИТ. Без нее уже нельзя представить веб-серверы, сетевые устройства, смартфоны. Но некоторым этого кажется мало, и они все еще мечтают об успехах Linux на десктопах.

На мой взгляд, тема с десктопами закрыта. Даже у Microsoft фокус, похоже, смещается в сторону мобильных потребительских устройств, если хотите, "постписи". Т.е. поезд ушел, бороться, исходя из текущего положения дел, не за что. Но общее состояние вовсе не обязательно характеризует каждый конкретный случай. Так что если вы вдруг заинтересовались Linux - вперед. А с рекогносцировкой на новой местности помогут специальные программы, к примеру, Get Linux.

С ее помощью можно коротко познакомиться более чем с 100 различных дистрибутивов. Данное число уже само по себе показательно, при том, что в списке нет многих известных дистрибутивов, не только локальных, но и глобальных (Red Hat, SUSE). Большая часть - "форки" Ubuntu, хотя присутствуют и несколько неуместные (исходя из названия программы) BSD-дистрибутивы. Впрочем, список поддерживается на сервере, так что наверняка будет корректироваться и расширяться. Для известных проектов можно почитать краткое описание, перейти на соответствующую страницу Distrowatch или на сервер разработчиков либо сразу же загрузить их.

В общем - для любопытствующих. Что лично мне больше всего понравилось в этой программе (кроме цветовой гаммы), так это:

Made For Windows 7.

Вопрос может быть и праздный, но возник не на пустом месте. Похоже, произошла серьезная утечка кода защитных продуктов Symantec. Насколько это опасно?

Своим "успехом" похвасталась хакерская группа Dharmaraja. Им вроде бы удалось взломать серверы индийской военной разведки (!) и найти там исходные коды разных программных продуктов, а первыми они опубликовали ряд документов Symantec.

Естественно, точной информации о том, что именно попало им в руки нет, однако Symantec уже подтвердила изданию SecurityWeek утечку кода Symantec Endpoint Protection 11.0 и Symantec Antivirus 10.2 (это корпоративные продукты).

Оба не новые. Антивирус уже, кажется, снят с поддержки. Текущая версия SEP - 12.1, 11-я выпущена четыре года назад, хотя наверняка еще используется. Конечно, от версии к версии базовый код вряд ли меняется кардинально. Но вроде бы похоже, что тех, кому может угрожать опасность, не очень много. А какая, собственно, опасность?

Какой-то независимый эксперт высказался в том смысле, что, поскольку антивирусы в основном применяют сигнатурный анализ, то противодействие ему и так является основной задачей злоумышленников, и, следовательно, много нового они для себя не откроют.

Однако проблема может быть совсем иного плана. Не случайно сегодня большинство антивирусов применяют механизмы самозащиты. Знание принципов их работы и, возможно, недочетов в реализации может дать в руки хакерам метод их полной деактивации, и тогда бороться с сигнатурным движком даже не потребуется. И такие инциденты уже случались, я лично был свидетелем одного из них и как раз с продукцией Symantec (правда, довольно давно).

Вот отсюда и вопрос, вынесенный в заголовок сообщения. Мне полноценные антивирусы с открытыми исходниками неизвестны. ClamAV - только сканер. Есть еще пара менее известных, но в основном это исследовательские проекты и наверняка тоже только сканеры. Вопрос можно поставить и шире: всюду ли хорош или даже уместен подход open source?

Если конкретнее, то речь о Windows 8. И "вечной" она, конечно, будет не буквально, а просто - переустанавливаться с полпинка за считаные минуты.

За всеобщим обсуждением смартфонов и планшетов тема Windows 8 как-то съехала на второй план, хотя Microsoft сама отчасти виновата, передвинув выпуск бета-версии на конец февраля. Однако Стив Синофски сотоварищи продолжает приоткрывать подробности в своем блоге. Послений пост как раз посвящен новым функциям Reset и Refresh, которые я в обзоре только упомянул.

Собственно, глобально все осталось по-прежнему. Reset означает полную переустановку ОС, a Refresh - восстановление системных файлов, но с сохранением Metro-приложений и пользовательских настроек. Обе функции могут вызываться как из среды Windows 8, так и из загрузочного меню, а в бета-версии появится возможность создания аварийной флэшки (на случай порчи recovery-раздела).

Но вот детали довольно интересны. К примеру, Reset может выполняться в двух режимах: с простым переформатированием системного раздела или с его полным (однопроходным, но все же) затиранием во избежание нежелательного восстановления информации.

Стало также известно, какие именно настройки сохранит процедура Refresh:

• параметры, устанавливаемые на этапе Welcome Screen
• учетные записи
• параметры беспроводных и широкополосоных соединений
• параметры BitLocker и BitLocker To Go
• буквы накопителей
• настройки персонализации (тема, обои и пр)

Все остальное очищается, даже, к примеру, разрешение дисплея. В общем, это и понятно, так как цель - исправить все возможные ошибки и восстановить нормальное функционирование ОС.

Как говорилось, из приложений при этом будут восстановлены только те, что "в стиле Metro", однако имеется возможность отчасти обойти это ограничение. Уже в нынешней Developer Preview имеется утилита recimg.exe, с помощью которой можно сделать образ текущего состояния системы и использовать для Refresh именно его. С ее же помощью можно будет задействовать образ, который OEM часто поставляют в специальном скрытом разделе.

Ну и отдельно хочется обратить внимание, насколько быстро выполняются все восстановительные процедуры:

Это на том самом ноутбуке, который раздавался на BUILD. Очень быстро. Не сравнить с переустановкой с DVD или с восстановлением из обычных резервных образов. Достигается такая скорость, конечно, за счет того, что нужный образ уже находится на жестком диске, но также и благодаря применению ряда технологий, используемых при установке самой ОС.

Обратите также внимание, что Reset с затиранием данных выполняется гораздо быстрее, если использовался BitLocker. Просто в этом случае нет смысла перезаписывать все данные, так как они хранились в зашифрованном виде, достаточно ограничиться лишь метаданными самого BitLocker.

Интересно также было бы узнать, будут ли функции Reset и Refresh доступны администратору дистанционно. Последняя версия DaRT демонстрирует, что это вполне возможно.

Так утверждают "особы, приближенные к", в частности, блогеры Zdnet. Т.е. информация не официальная, но все же довольно похожая на правду.

Естественно, речь идет только о пользовательских виртуальных машинах, т.е. о IaaS. Вообще, Windows Azure возникла и по сей день развивается как PaaS, т.е. полноценная облачная платформа для приложений, которые, однако, должны разрабатываться специально. В принципе, ясно, что будущее (даже если и отдаленное) именно за этим подходом. Однако Amazon прямо сейчас стрижет купоны с IaaS.

Если признать, что мы переживаем некий переходный период от on-premise вычислений к облачным (а в пользу этого говорит и текущая стратегия Microsoft под названием S+S), то популярность IaaS совершенно понятна. Компаниям не нужно переделывать имеющиеся приложения, достаточно завернуть их в ВМ и отправить в облако. ВМ там будет как-то реплицироваться и пр., не суть важно. Главное, что вы получаете большую часть преимуществ облачных вычислений, не вкладываясь в (дорогую) разработку.

Около года назад Microsoft вроде бы поняла, что пытается опередить время и сделала некоторое движение в сторону IaaS (в виде VM role), но уж слишком робкое. Оказывается, пользовательские ВМ в Windows Azure не сохраняют своего состояния, т.е. при перезагрузке они сбрасываются в исходное состояние. Не очень понятно, с чем связано такое свойство облачной платформы, но оно ограничивает применения VM role какими-то тестовыми проектами или сильно усложняет решения (данные нужно "сливать" куда-то еще).

Но в последнее время заметно, что Microsoft несколько отступает от своих первоначальных, чересчур оптимистичных планов относительно облачных вычислений. Появление в Windows Azure "долговременных", или "персистентных" ВМ, т.е. нормальная поддержка IaaS - как раз один из признаков. Ну и одновременно в планах - поддержка ВМ с Linux (сейчас только Windows Server). Не думаю, что Linux "вообще", скорее каких-то "признанных" дистрибутивов, вроде традиционного SUSE, но все же.

ChevronWP7, предоставляющая недорогой, но вполне официальный способ разлочки Windows Phone терминалов, неожиданно объявила в Twitter о приостановке своего сервиса.

Оказывается, изначально у Microsoft было приобретено всего 10 тыс токенов - они исчерпались. Злые языки, конечно, сразу же попытались обвинить Microsoft в притеснении свободы мысли :) Но представители ChevronWP7 уже разъяснили в блогах и форумах, что сами сомневаются в целесообразности продолжения своей деятельности. Поддержка сервиса оказалась не таким простым делом, плюс какие-то проблемы с PayPal и пр.

Энтузиасты, конечно, надеются, что ChevronWP7 все же воспрянет духом, закупит очередную порцию токенов и продолжит свою почти благотворительную деятельность. Но здесь снова гораздо более интересна позиция самой Microsoft. Конечно, она не только не препятствовала деятельности ChevronWP7, но и даже отчасти помогала в ее организации. Хотя, делала это как-то, что ли, нехотя.

Разлочка терминалов (в данном случае она означает возможность установки ПО в обход официального магазина) - очевидная "замануха" для тех самых энтузиастов, гиков. Но, как я уже не раз писал, непохоже, что Microsoft делает на них ставку. Что же касается "обычных" потребителей, то, занимая в некотором смысле промежуточное положение между iOS и Android, Windows Phone пока не может потеснить ни ту, ни другую. Особенно, конечно, Android.

Здесь налицо очевидный парадокс: эксперты вроде бы хвалят Windows Phone и находят кучи недостатков у Android, но это не оказывает никакого влияния на рынок. Потребителям совершенно неважно, сколько похожих терминалов выпускает конкретный OEM, и уже тем более, как часто он обновляет свою линейку. Ведь оттого, что в супермаркете много марок колбас, мы же не перестаем их покупать?

Аналогично с фрагментацией Android - кто из обычных людей упомнит все версии платформы и их названия? Кому это надо? Достаточно, что - Android. А вот гики как раз имеют возможность выбрать терминал, который лучше всего подходит к их запросам. В том числе и самый дешевый - для экспериментов - чтобы не было слишком накладно и жалко, если "брикнется".

Конечно, не в технологическом плане, слишком многое изменилось со времен DOS. Но маркетинговых и идейных совпадений для такого сравнения достаточно - ставка на разработчиков и энтузиастов снова сработала безотказно ("Developers! Developers! Developers!..").

В свое время эту роль могла бы сыграть Windows Mobile. Но тогда мобильные терминалы воспринимались в основном как обычные телефоны, а впоследствии Microsoft почему-то избрала фактически модель Apple - возможно, здесь и кроются истоки проблем Windows Phone.

Две ключевые составляющие успеха Android - доступные терминалы и режим максимального благоприятствования гикам всех мастей. Вместе они мгновенно обеспечили формирование мощной экосистемы, участники которой сегодня в значительной степени диктуют свои правила. К примеру, компания HTC, один из, пожалуй, наиболее "консервативных" OEM, все-таки была вынуждена официально разрешить разлочку системного загрузчика для стихийных разработчиков и поклонников homebrew-прошивок.

А вот другой пример - штатная инфраструктура скриптинга SL4A, обеспечивающая вызов системных API посредством RPC (из языков, которые располагают соответствующими возможностями, скажем, JRuby, можно напрямую вызывать Java-классы). Уже поддерживаются Python, Perl, JRuby, Lua, BeanShell, JavaScript, Tcl, но весь проект еще находится на альфа стадии. Можно провести параллель с интерпретатором Basic и Windows Scripting Host. Хотя основное назначение SL4A все-таки несколько иное - быстрое прототипирование приложений, наработка паттернов.

С другой стороны, схожесть моделей в значительной степени обусловливает и схожесть развития. Фрагментация Android гораздо больше напоминает фрагментацию Windows (с очевидными оговорками), чем Linux - ведь Windows XP по-прежнему самая популярная настольная ОС, несмотря на существование более защищенной Windows 7.

По этой же причине Android стал в мобильном мире и главным объектом для злоумышленников. Какие-то более-менее громкие инциденты происходят регулярно, и все больше они начинают напоминать таковые для настольного мира - вот, дожились уже и до фейковых антивирусов.

Интересный вопрос: куда заведет этот очередной виток спирали развития? Ведь Microsoft тоже неспроста отказалась от открытой модели, причем, отчасти даже на дектопах (Metro).

История с уязвимостью WPS получила продолжение и довольно неожиданное.

Оказывается, эксперт, обнародовавший уязвимость WPS не одинок. Компания Tactical Network Solutions также занималась данной проблемой и, видимо, определенными знаниями располагала даже несколько раньше. Поняв, что скрывать больше нечего, ее специалисты пришли к, на мой взгляд, странному решению: опубликовали готовый взломщик PIN-кода, причем, самую простую бесплатную версию (а есть и коммерческая!) - даже с открытым исходным кодом.

Из информации на сайте компании сложно понять, насколько плотно они взаимодействовали с Wi-Fi альянсом и другими уполномоченными инстанциями, возможно своим шагом они пытались как раз подстегнуть процесс пересмотра стандарта, исправления спецификаций, алгоритмов и пр. Но со стороны их поступок выглядит как своеобразное приглашение злоумышленникам и просто хулиганам. Так что, чтобы не портить себе праздники, всем, кто отвечает за беспроводные сети, имеет смысл поскорее уделить внимание их проверке и настройке.

Впрочем, чтобы не заканчивать 2011 г. на минорной ноте, обращу внимание на более жизнеутверждающую новость. HP под Новый год выпустила обновление микропрограмм для своих LaserJet, которое устраняет уязвимость, связанную с их несанкционированной перезаписью. Возможность каких-то катастофических последствий в компании не признали, но подошли к проблеме ответственно и достаточно оперативно подстраховались.

В уходящем 2011 г. все как-то увлеклись обсуждением безопасности "постписи"-устройств, похоже, несколько подзабыв, что пока мы еще живем в прежнем "писи" мире.

Благо, исследователи готовы развеять любые иллюзии. Специально ли они приберегли свои находки к концу года? Может и нет, но заключительный аккорд вышел громким.

Прежде всего, большое число приложений и технологий оказалось уязвимо для атак на основе хэш-коллизий. Это относится к ASP.NET, Java, PHP, Ruby, V8 и пр. В частности, для веб-серверов это означает, что определенным образом подобранные данные форм в POST-запросе могут вызывать 100% загрузку процессора и, следовательно, использоваться для DoS-атак.

Некоторые подробности можно найти здесь, разработчики соответствующих технологий начали выпускать исправления, в частности, у Microsoft они уже распространяются через Windows Update.

Как обычно и бывает в подобных случаях, данный тип атак был описан еще в 2003 г., а методы поиска коллизий уже известны почти для всех хэш-функций, тем не менее, нужно было дождаться, пока их таки научатся применять на деле. Хотя защититься заранее было совсем не сложно.

Но не только перед веб-серверами встали новые угрозы. Достаточно забавные подробности открылись относительно упрощенного способа подключения к Wi-Fi сетям - WPS (Wi-Fi Protected Setup). Один из стандартизованных вариантов предполагает ввод восьмизначного PIN-кода, указанного на беспроводной точке. Учитывая, что проверка каждого значения занимает порядка 1-2 с, можно предположить, что 10^8 степени комбинаций дают достаточно надежную защиту от метода грубой силы - вряд ли кто-то станет ломиться к вам годами.

Однако Stefan Viehböck обнаружил, что форма ответа EAP-NACK на неудачную попытку ввода PIN, позволяет сравнительно легко узнать, были ли правильными первые 4 цифры. Учитывая, что последняя из восьми играет роль контрольной суммы, весь перебор сводится всего навсего к 11 тыс. попыткам. В документе даже приводятся оценки, сколько времени он может занять - к примеру, в рекомендованной конфигурации (три попытки до минутной блокировки доступа) нужно менее трех дней.

WPS поддерживается многими беспроводными устройствами от практически всех вендоров, в основном, рассчитанными на SOHO. Но такое деление довольно условно, поэтому в любом случае нелишне проверить. К тому же, по умолчанию этот способ подключения практически всегда активен (это ведь преимущество). Соответственно, нужно отказаться от него и ограничиться "чистым" WPA2.

Конечно, в отличие от первого "открытия", это - достаточно внезапное. Ну, чего-то недосмотрели при составлении спецификации - бывает. Но спать было бы гораздо спокойнее, если бы соблюдался давно известной принцип минимизации угроз - по умолчанию отключать все, чтобы пользователь самостоятельно включал только реально нужные функции, а никак не наоброт. Однако даже самые приличные компании не гнушаются таким вот заигрыванием с потребителем, потому "эта музыка будет вечна" даже без замены батареек. Стабильность чисто по Зубинскому :)

Именно таков размер "типичной" веб-страницы согласно мониторингу HTTP Archive.

"Типичной" не случайно взято в кавычки, т.к. отслеживаются только наиболее популярные сайты (согласно рейтингу Alexa), тем не менее, когда с ноября их список расширился, динамика только ускорилась.

Мегабайт - много это или мало? В 1995 г. средний размер веб-страницы равнялся всего 14 КБ, в 2003 г. - 93 КБ, в 2008 г. - 300 КБ, а год назад (уже по данным HTTP Archive) - 702 КБ. Впрочем, сведения из разных источников, так что напрямую их сравнивать не вполне корректно, хотя общее представление они создают вполне верное. Только за прошедший год размер веб-страницы вырос на 30%.

Что это означает на деле, известно всякому, кому доводилось разом открыть пару десятков таких вот "типичных" страниц. Даже для современных CPU их обработка - непростая задача. Размер и сам по себе играет роль, скажем, мобильный трафик все еще недешев. Да, у многих сайтов есть специальные мобильные версии, но это временые "костыли" - тенденция состоит как раз в том, что веб должен стать "однородным", т.е. не зависеть от клиентского устройства. Отчасти ситуацию, конечно, спасают кэширование в браузерах и технологии сжатия - Opera Turbo, Opera Mobile, Amazon Silk. Но сам факт существования последних говорит о наличии проблем.

Данные HTTP Archive вообще дают обширную почву для размышлений. Любопытно выглядит даже состав современой страницы:

Львиная доля приходится на изображения, а на втором месте, как ни удивительно, даже не Flash, а JavaScript. Сценарии сделали громадный скачок именно за последний год, рост их объема опережает показатели для всех прочих компонентов страниц:

Использование Flash при этом остается стабильным, как в составе страниц, так и по числу сайтов (около 50%). Два этих факта, очевидно, свидетельствуют в пользу победы HTML5, хотя Flash вытесняться будет еще долго. Но вот косвенный вывод из этого сопоставления может показаться неожиданным: сайты на HTML5 получаются "тяжелее" построенных на Flash. Такова плата за свободу.