Хакер #305. Многошаговые SQL-инъекции
Microsoft объявила об открытии Центра прозрачности (Transparency Center) на прилегающей территории возле штаб-квартиры в Редмонде, штат Вашингтон.
Представители государственных органов могут посетить это место, посмотреть на исходный код операционной системы Windows и других программ — и убедиться, что в них отсутствуют бэкдоры и шпионские закладки.
Центр прозрачности в Редмонде начал работу 1 июля 2014 года. Второе подобное заведение компания откроет в Брюсселе, чтобы показывать исходники партнёрам из Евросоюза. А вообще, Microsoft намерена создать обширную региональную сеть центров прозрачности.
Всё это похоже на пиар-компанию, потому что изучение исходного кода в «лабораторных» условиях вовсе не гарантирует, что конечным пользователям поставляется ПО, собранное именно из этих исходников.
Кстати, Microsoft и раньше показывала отдельным партнёрам исходный код своих проприетарных программ, но это делалось в частном порядке, по итогам двухсторонних переговоров с госорганами. Первой в мире исходный код Windows получила Россия в 2002 году на условии, что исходники будут считаться государственной тайной РФ.
Сотрудничество продолжалось в последующие годы. Например, летом 2010 года Microsoft предоставила ФСБ исходные коды Windows 7, Windows Server 2008 R2, Office 2010, SQL Server 2008 R2 и Exchange Server 2010 «для повышения доверия к продукции Microsoft со стороны государственных органов».
Усиливая защиту своих сервисов от стороннего наблюдения, Microsoft на днях внедрила TLS для входящей и исходящей почты Outlook.com. Шифрование возможно в том случае, если почтовый сервер отправителя/адресата тоже поддерживает TLS.
Microsoft подчёркивает, что тщательно проработала вопрос совместимой схемы шифрования с коллегами «Яндекса» и Mail.ru, среди прочих почтовых провайдеров.
Вдобавок, на Outlook.com и OneDrive реализовали схему согласования ключей с совершенной прямой секретностью (Perfect Forward Secrecy, PFS). Эта схема гарантирует, что сессионные ключи, полученные при помощи набора ключей долговременного пользования, не будут скомпрометированы при компрометации одного из долговременных ключей.