Office2010发布办公安全成网络探讨热点

　  导读：随着Office2010的发布，在办公安全这一领域成为网络探讨的热点，Office2010对重要文档的保护功能如何，是考验微软新的办公软件的要点。曾经为数众多的病毒把感染对象瞄准Office文档，这并不是偶然，因为庞大的用户群体，微软的Office一直是病毒紧追不放的目标。

　  通过分析过去的漏洞来了解漏洞是如何被利用的，还要如何做才能防止今后出现类似的情况。Office2010基于五个基本准则建立了新的多层次的安全模型，这是任何一个开发者都应该记住的：

　　1.在执行之前验证所有用户输入

　　任何一个好的程序员都知道输入验证是关键的步骤之一，未经验证的文本框可能会导致缓冲区溢出、代码注入攻击和其他软件缺陷。但往往程序员只考虑到验证表单字段、文本输入框和其他用户界面元素，而忽略了对文档进行验证。

　　Office2010通过使用文档模式库来预先验证文档，避免了不必要的安全问题。新的Office将能够识别特定的文件类型，在开始解释代码之前实施积极的安全措施，比如在发现要打开的文档符合库中已知的宏病毒的特点时会提早禁用宏功能。编者按：宏病毒、CIH病毒、蠕虫病毒和木马病毒四大类曾经是计算机用户的噩梦，但到目前为止，除了CIH之外，另外三个依然在威胁网民的计算机安全。

    2.不要相信第三方库

　　和其他应用一样，现实中的Office文档不仅仅包含简单的ASCII数据，它们可能还包含着图片、音频、视频等等从其他应用嵌入的数据。经过多年对Office2007的测试，微软的工程师得出了出人意料的结论：他们发现严重的安全漏洞大多不是Office代码本身的错，而是那些用来渲染JPEG、GIF和其他图形的核心第三方代码库出现了问题。

　　因此在Office2010中微软转向了自己的图像处理库WindowsImagingComponent。对于其他应用的开发者，这个教训再明白不过：绝不要认为广泛使用的第三方类库是完美无缺的。

　　3.查找随机缺陷和不典型使用案例

　　精心设计的Usecases在软件测试时至关重要，但即使是最好的质量工程师也不能想到一切，错误可能来自意想不到的地方，有时一些字节也会触发这些bug。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点