Новости Software за день

Закон CAN-SPAM переработан
Федеральная Комиссия по Торговле США существенно переработала закон CAN-SPAM, который был принят в прошлом году. Напомню, что закон CAN-SPAM защищает граждан США от получения нежелательных коммерческих электронных писем. К уже принятому законопроекту были некоторые претензии, в частности дискуссии о нем продолжались в Конгрессе США даже после 1 января 2004 (день, когда был принят закон). Борцы со спамом утверждали, что в законе есть масса лазеек в то время как "маркетологи" жаловались на жесткость и несправедливость закона.

Представитель Федеральной Комиссии по Торговле США недавно заявил, что закон CAN-SPAM на самом деле значительно шире, чем многие думают. Закон покрывает все коммерческие сообщения. Сегодня люди и организации, рассылающие письма, уже знакомы с основами закона: нельзя фальсифицировать информацию в заголовке и теме письма, нужно дать пользователю понятную возможность отписаться от рассылки, а в теле письма необходимо сообщить реальный физический адрес отправителя.

Конгресс превратил CAN-SPAM в закон и поручил Федеральной Комиссии по Торговле проследить за его исполнением и подготовить отчет. На данный момент известно, что подготовлено руководство, которое поможет честным и правильным организациям, рассылающим почтовые сообщения, соблюсти все формальности.

Одной из жалоб на CAN-SPAM стало то, что компаниям сложно общаться с уже существующими клиентами. По сути, это не просто сложно, но даже незаконно. Федеральная Комиссия по Торговле признала этот факт и подготовила ряд поправок, которые вступят в силу с конца марта этого года. В частности теперь письма будут делиться на "transactional/relationship" и "commercial". К первым будут отнесены сообщения, направленные клиентам, которые уже что-то купили, а ко вторым - те, в которых идет агитация за покупку чего-либо. Чтобы компания гарантированно рассылала письма первой категории, она должна будет сообщить в письме информацию о покупке, доставке, членстве, состояние учетной записи и все остальное, что имеет отношение к уже сложившимся отношениям. Так же никто не отменял корректное заполнение заголовка письма.

Федеральная Комиссия по Торговле также позаботилась и о письмах-гибридах. Ведь никто не помешает компании, обратиться к клиенту, с которым уже есть отношения, попутно прорекламировав ему еще что-нибудь. В любом случае, если хотя бы часть письма попадет в раздел "коммерческие сообщения", то CAN-SPAM тут же вступит в силу и накажет недобросовестного отправителя.

Есть также поправки относительно рассылки "информации для взрослых". Во-первых, тема письма должна начинаться со слов "SEXUALLY-EXPLICIT". Во-вторых, что не очень понятно: "отправитель должен обеспечить дополнительные шаги, благодаря которым можно просмотреть взрослую информацию, не открывая письма".

Также политики пришли к выводу, что реестр "Do Not E-Mail Registry" не нужен (туда по идее должны были заноситься адреса пользователей, которые с самого начала отказываются от спама). Эксперты согласились, что такой реестр может легко превратиться в "Best-to-Spam Registry".

Хотя сделано уже очень много, даже у самой Федеральной Комиссии по Торговле США остаются некоторые претензии к закону. Так что CAN-SPAM будет дорабатываться и дорабатываться...
Автор: Алексей Доля Дата: 01.02.2005 10:35
Волнения среди пользователей Novell
Клиенты Novell беспокоятся, что, погнавшись за рынком решений на базе Linux, компания Novell может прекратить поддержку некоторых весьма распространенных приложений.

На конференции, проводимой компанией Novell в Лондоне, основное внимание было уделено новому продукту Novell Open Enterprise Server (OES), который представляет собой объединение операционных систем NetWare и SuSE Linux Enterprise Server 9. Напомню, что OES позволяет пользователям NetWare запускать приложения, доступные под Linux, а пользователям SuSE Linux запускать известные сервисы из NetWare. В частности, файловая система и "движок" для работы с принтерами - теперь вынесены из ядра NetWare и доступны под Linux. Судя по заявлениям представителей Novell, OES будет продаваться с середины февраля.

Пользователей NetWare беспокоит то, что Novell может прекратить поддержку тех своих частных приложений, аналоги которым есть под Linux с открытыми исходными текстами. Например, особенно нервничают пользователи GroupWise, инструмента Novell для управления электронной почтой и совместной работы сотрудников. Точно такую же функциональность предлагают открытые приложения SuSE Linux Openexchange Server и Evolution.

Некоторые аналитики уже сейчас заявляют, что GroupWise будет одним из первых приложений, поддержку которых прекратит Novell. Некоторые пользователи заранее обдумывают варианты перехода на другие продукты, перспективы которых не вызывают таких сомнений. Однако дело не ограничивается мощным средством управления почты. Большие сомнения вызывает и судьба самой системы NetWare. Ни для кого не секрет, что многим нравится эта операционная система, но ее доля рынка постепенно сокращается.

Сторонние специалисты заявляют, что Novell обязательно должна позаботиться о средствах, которые максимально облегчат миграцию, например, с GroupWise. Что же до NetWare, то ее дни, судя по всему, тоже сочтены. По крайней мере, в долгосрочной перспективе у этой системы нет будущего. Как заметил один из аналитиков, через 20 лет NetWare точно не будет. Видимо, через какое-то время Novell предложит своим клиентам выгодные условия и технологии для перехода на Linux.

Хотя мнения специалистов и аналитиков полностью идентичны, вице-президент компании Novell в Европе, Стив Браун, сказал, что его компания по-прежнему будет поддерживать GroupWise. А потом сразу же добавил: "Я имею в виду - в краткосрочном периоде". По словам Стива Брауна, на данный момент GroupWise несколько превосходит, например, Evolution, в вопросах планирования задач, шифрования и поддержки большего числа форматов. Интересно заметить, что вопрос о поддержке NetWare на официальном уровне еще не поднимался. Это и понятно: любые слова на этот счет со стороны представителей Novell, судя по всему, будут либо ложью, либо вызовут панику у пользователей NetWare...
Автор: Алексей Доля Дата: 01.02.2005 11:09
Пакет обновлений для MacOS X от Apple
Компания Apple Computer выпустила первый в 2005 году пакет исправлений для своей операционной системы MacOS X. "Security Update 2005-001" для Mac OS X решает проблемы с командами "at", корректирует библиотеку libxml2 и исправляет ошибки в программах ColorSync, Safari и Mail. Также устранены специфические проблемы в PHP и программе третьего разработчика "SquirrelMail". Пакет исправлений рекомендован всем пользователям Macintosh, имеющим серверную или клиентскую версии Mac OS X 10.3.7 или Mac OS X 10.2.8.

Проблемы с командами "at" состояли, по словам Apple, в уязвимости, позволяющей повысить локальные привилегии пользователя. Если проблему не исправить, то локальные пользователи смогут перемещать файлы, не принадлежащие им, запускать программы с повышенными привилегиями, а также читать содержимое файлов, которые в штатном случае для них не доступны. Пакет исправлений решает проблемы со следующими командами: "at", "atrm", "batch", "atq" и "atrun".

Еще одна критическая проблема была в библиотеке libxml2, в которой есть небезопасный код. Уязвимость этого кода можно эксплуатировать в тех приложениях, при создании которых использовалась эта библиотека. Суть уязвимости - переполнение буфера.

Пакет исправлений также решает некоторые проблемы в PHP, результатом которых может стать удаленный отказ в обслуживании и исполнение произвольного кода.

Уязвимость в браузере Safari была обнаружена известной компанией Secunia Research. Исправление обязательно для тех, которые не использует возможность "Block Pop-Up Windows". Без исправления пользователя могут ввести в заблуждение относительно содержимого всплывающего окна, если он воспользуется непроверенной ссылкой при навигации по web-сайту.

Что же до почтового клиента Mail, Apple изменила его код так, чтобы сообщения, отправленные с одного компьютера, нельзя было идентифицировать. Раньше GUUID (Globally Unique Universal ID), содержащий идентификатор, ассоциированный с аппаратным обеспечением для работы с Ethernet, использовался в соответствии с RFC-822, который требовал заголовка Message-ID. Пакет исправлений позволит спрятать информацию в Mail с помощью криптографических хеш-функций.

Еще одна уязвимость в SquirrelMail называется «cross-site scripting». В данном случае почтовое сообщение могло содержать данные, которые будут исполняться браузером пользователя. Теперь эта проблема устранена.

Скачать и установить пакет обновлений для Mac OS X можно либо через Software Update, либо с web-сайта Apple Downloads. Различные версии пакета исправлений соответствуют различным версиям системы Mac OS X. В среднем исправления занимают от 18 до 7 Мбайт.

Автор: Алексей Доля Дата: 01.02.2005 11:16
После фишинга нас ждет фарминг
Новый термин недавно появился стараниями Скотта Чейзина (Scott Chasin), технического директора компании MX Logic из Денвера. Фарминг является логичной эволюцией фишинга, а отличается лишь тем, что пользователь попадает на поддельный web-сайт автоматически. Другими словами, от пользователя не требуется открывать специально сконструированную ссылку и проявлять верх невнимательности и неосмотрительности. Фарминг - это фишинг, использующий уязвимости браузера, операционной системы и всего чего угодно (вплоть до, например, DNS-серверов), лишь бы перенаправить пользователя на фальшивую web-страницу автоматически.

Будет вполне логично привести образные слова самого Скотта Чейзина: "Фишинг включает в себя насаживание наживки в надежде ухватить кусок. Фарминг - это посев зерна, который не требует полагаться на случай". По словам этого же эксперта, есть все основания полагать, что фарминг не только уже существует, но и развивается. Даже, если это не так, фарминг станет частью нашей жизни в самое ближайшее время. Причем вне зависимости от наших желаний.

В качестве примера фарминга Скотт Чейзин приводит случай, произошедший в ноябре 2004 года. Пользователи, пытавшиеся попасть на сайты Amazon.com и Google.com, в конечном итоге оказывались на странице фармацевтической компании. Однако предумышленных противоправных действий здесь не было. Инцидент стал возможным из-за сбоя на DNS-сервера.

По мнению Скотта Чейзина, необходимо добавить новую функциональность в браузер, чтобы обеспечить проверки web-адресов и защиту от их подмены, а также разработать и внедрить новые протоколы аутентификации, согласно которым каждый web-сайт будет публиковать свой IP-адрес для проверки оного браузером. Другими словами, Скотт Чейзин предлагает ввести нечто подобное уже созданным протоколам аутентификации почтовых электронных сообщений. Если не предпринять никаких мер, то электронная торговля, и так уже ослабленная фишингом, может вообще лишиться всякого доверия пользователя...
Автор: Алексей Доля Дата: 01.02.2005 11:35
Новые инструменты Yahoo!
Компания Yahoo! предлагает новую утилиту пользователям своей локальной поисковой системы. Благодаря новому инструменту пользователи могут отсылать текстовую информацию с компьютера на телефон через SMS. Для отправителя эта услуга бесплатна, для получателя - в зависимости от тарифа оператора мобильной связи. Считается, что теперь пользователи смогут передать на мобильный телефон результаты своего поиска. Например, можно разыскать в Интернет или в своих записях адрес и телефон нужного ресторана и отослать эти данные через SMS. В общем случае, таким способом можно передавать любую информацию, в том числе деловую.

Оглядываясь назад, можно вспомнить, что в октябре прошлого года компания Google открыла новый сервис, благодаря которому пользователи мобильный телефонов и компьютеров могли осуществлять поиск в системе Google через SMS. Судя по всему, обстановка на рынке поисковых систем в Интернет накаляется. В будущем пользователей ждет масса новых и полезных сервисов...
Автор: Алексей Доля Дата: 01.02.2005 11:38