Adobe AIR får hug for svag sikkerhed

Adobes nye AIR-platform baserer sig på en alt for svag sikkerhedsmodel, vurderer flere sikkerhedseksperter.

Adobe lancerede mandag officielt selskabets nye AIR-platform, som skal gøre det muligt at udvikle webapplikationer, der kan afvikles som applikationer på brugerens pc uden for browseren.

Det giver softwareudviklere en række nye muligheder, men bagsiden af medaljen kan være en ny angrebsvej for hackere, advarer sikkerhedseksperter.

Sikkerheden står og falder i sidste ende med slutbrugerens vurdering, da Adobe ganske vist har valgt at bruge signerede applikationer, men tillader udviklere selv at signere deres applikationer.

Det svageste led: Brugeren
Adobe AIR baserer sig på webteknologier som AJAX, Flash, HTML og andre scriptsprog, men med adgang til det lokale system.

»Adobe AIR åbner uden tvivl for en ny strøm af muligheder for at udvikle nye og spændende netværksorienterede desktop-applikationer. Men med de kraftfulde muligheder og ved at basere sig på én af de svageste former for sikkerhed, det vil sige den gennemsnitlige bruger, så vil vi uden tvivl komme til at se virusprogrammører afprøve det, hvis AIR bliver populært,« skriver afdelingschef Hon Lau fra Symantecs Security Response på selskabets weblog.

Adobe AIR benytter sig af to sandkasser, som applikationerne kan afvikles i, men de er begge mindre restriktive end eksempelvis en webbrowsers tilsvarende sandkasse. Adobe AIR har således en Trusted og Untrusted sandkasse, men igen overlades den endelige vurdering af en applikations sikkerhed til slutbrugeren.

Sikkerhedsorganisationen SANS Internet Storm Center påpeger samtidig, at applikationerne til AIR også kan udgøre en angrebsvej, hvis de ikke udvikles tilstrækkeligt sikre.

Adobe har frigivet et sæt retningslinjer for god sikkerhedsskik i AIR-applikationer, men der er ingen umiddelbar håndhævning af retningslinjerne i selve AIR-platformen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere