Содержание   Версия для печати

Во второй части статьи Мифы о Mac OS X Leopard Даниэль Эран продолжает разоблачать мифы и необоснованную критику в адрес Leopard, подробно объясняет свои идеи, размышляя и анализируя вместе с читателем.

Читать Мифы о Mac OS X Leopard: часть I

Миф пятый: сервис "Back to my Mac" небезопасен!

Back to my Mac - одна из новых возможностей совместной работы Mac OS X Leopard и онлайн сервиса .Mac. Она сообщает специальным серверам .Mac IP-адрес вашего компьютера и настройки общего доступа. Back to my Mac служит для работы с удаленным компьютером. Например, вы можете подключиться с ноутбука к вашему домашнему компьютеру, напечатать что-то на принтере (конечно, если к нему открыт доступ), а также можете даже настроить удаленное управление компьютером через этот сервис.

Apple не распространяет информацию о том, как работает этот программный продукт. Компания представляет его как полезную особенность операционной системы, которая проста в использовании: вы ее включаете, и она просто работает, так же, как AppleTalk в середине 80х. В действительности, Apple использует Bonjour, который представляет собой современную интерпретацию AppleTalk, адаптированную под использование через обычный Internet Protocol.

В качестве расширения функциональности, представленной в Local Bonjour Browsing, - технология автоматического распознавания музыки в iTunes, фотографий в iPhoto, а также, файлов с общим доступом. В новой Leopard сервис Back to My Mac использует "широкую область Bonjour", которая передает информацию через серверы Apple .Mac. Таким образом, вы можете просматривать ваши общие ресурсы из других мест. Для защиты информации используется учетная запись .Mac.

Некоторые эксперты считают, что .Mac небезопасен только потому, что этот сервис не запрашивает сохраненные пароли. Обозреватель Rob Mead с сайта Tech.co.uk пишет "Обратная сторона использования .Mac логина для доступа на удаленный компьютер заключается в том, что любой пользователь, знающий ваш логин и пароль сможет получить доступ к вашей информации". Также Rob Mead пишет: "любой кто знает ваш логин и пароль, сможет прочесть вашу электронную почту .Mac". Кстати, тот, кто знает ваш логин и пароль от других ваших почтовых сервисов, сможет воспользоваться этим и прочесть ее там.

Проще говоря, человек, знающий ваши логин и пароль, сможет воспользоваться вашей информацией. Именно поэтому пароль никому передавать не стоит. Вся идея пароля заключается в том, что это ключ к вашей защищенной информации. И если кто-то случайно узнал ваш пароль и воспользовался им, то вы не являетесь жертвой ошибки безопасности, а всего лишь совершаете пользовательскую ошибку. Ведь если ключ от вашей квартиры попадет в руки злоумышленников, то виноваты в этом будете только вы, а не производитель замков.

Безопасность – это практика, а не статус. Ничто не является абсолютно защищенным. Даже хорошо защищенная система может быть подвергнута атаке.

Windows имеет серьезные архитектурные проблемы, которые требуют от пользователя установки и настройки прочих средств безопасности. Mac OS X подобных проблем не имеет. Конечно, эта тема требует более детального рассмотрения и чаще всего подобные мифы рождаются из-за недопонимания принципов работы определенных средств.

Bonjour

Когда я писал о Wide Area Bonjour в мае, я не слышал о "Back to My Mac", который был аннонсирован только на WWDC 2007. Тем не менее, я описал, что делает Wide Area Bonjour, используя DNS-SD (service directory):

"Wide Area Bonjour расширяет существующую инфраструктуру DNS и позволяет использовать сервисы, которые скрыты от открытого Интернета. Точно так же, как устройства поддерживающие Bonjour регистрируются в локальной сети, пользователи могут зарегистрировать выделенное доменное имя, например, danieleran.mac.com, и получать динамические обновления в области Wide Area Bonjour Services."

Я показал примеры общих принтеров, файлов, закладок и удаленную работу с конфигурацией устройств. Многие читатели сразу увидели в этом возможную проблему безопасноси. Ответ многим подобным проблемам – аутентификация через пароль. Именно поэтому вам нужно использовать DNS-SD учетную запись. Apple всё упростила через использование сервиса .Mac, таким образом пользователи имеют единственный пароль. Пользователи сами должны определять, какие сервисы им необходимы. Тот факт, что указанные пользователем общие ресурсы являются открытыми для любого пользователя, у которого есть ваш пароль не является проблемой безопасности.

Эксперт Guillaume Gete с сайта Gete.Net пишет о том, что Back to My Mac использует аутентификацию Kerberos:

"Факт, что Apple не понизила уровень безопасности, отказавшись от запроса пароля при использовании сервиса Back to my Mac. Он использует Kerberos, который увеличивает уровень безопасности при пересылке паролей через Интернет. Если вы имеете подтвержденный сертификат Kerberos на компьютере в вашей локальной сети и подключаетесь к нему через Bonjour, вам не нужно идентифицировать себя, поскольку за вас это делает сертификат. И конечно же, утилита Keychain, которая хранит ваши пароли."

"Я не буду вдаваться в детали, но вы можете использовать Back to My Mac без использования того же .Mac пароля, что и на остальных компьютерах. Это означает, что Back To My Mac более безопасна, чем простой пароль. Кстати, возможно, это лучшее средство безопасности, которое Apple внедрила в Mac OS X. Kerberos тесно интегрирован с Bonjour и это серьезная особенность безопасности, о которой мало кто осведомлен, но в любом случае, это правильный шаг в отношении информационной безопасности каждого."