Vorige aflevering | Search TidBITS | TidBITS Homepage | Volgende aflevering

TidBITS#437/06-Jul-98

Bezorgd over het belangrijke nieuwe beveiligingsprobleem met Mictosoft Office 98? Raad eens - het is noch nieuw, noch beperkt tot Office. Geoff Duncan onderzoekt dit al lang bestaande beveiligingsprobleem en leg uit hoe het te vermijden. Ook deze week: Jerry Kindall bericht over de verbazingwekkende wapenfeiten tijdens MacHack van dit jaar, en we hebben nieuws over nieuwe installatiegereedschappen, The Tilery 4.0, ACTION Files 1.1, een belangrijke update voor Norton AntiVirus 5.0, en hoe de TidBITS-staf te vinden op de Macworld Expo.

Onderwerpen:

Copyright 1998 TidBITS Electronic Publishing. All rights reserved.
Information: <[email protected]> Comments: <[email protected]>


Je kunt je gratis abonneren op de Nederlandse afleveringen van TidBITS door een (blanco) mailtje te sturen naar: [email protected]. Je krijgt deze dan per e-mail toegestuurd.
Om je abonnement op te zeggen, kun je een mailtje sturen naar: [email protected].


Deze editie van TidBITS werd gedeeltelijk gesponsord door:


Dit nummer werd uit het Engels vertaald door:

Verder werkten mee:


MailBITS/06-Jul-98

Vertaling: [KD].

Norton AntiVirus 5.01 Update voor Mac OS 8.1 -- Symantec heeft een gratis versie 5.01 patch uitgebracht voor de engelse en internationale engelse versie Norton AntiVirus voor Macintosh 5.0. De update pakt ernstige disk-corruptieproblemen aan die het resultaat zijn van het gebruik van Norton AntiVirus 5.0 op HFS "standard format" disks onder Mac OS 8.1. (Zie "Norton AntiVirus schadelijk voor Mac OS 8.1 Disks " in TidBITS-434.) Volgens Symantec corrigeert versie 5.01 problemen wanneer bestanden die zijn aangemaakt in actieve SafeZones en daarna weggegooid, als vermist worden opgegeven door schijf-reparatie utilities. De update is een 550K download. [GD]

<ftp://ftp.symantec.com/public/english_us_canada/products/norton_antivirus_mac/ver5/updates/nav501patch.sea.hqx>
<http://db.tidbits.com/getbits.acgi?tbart=04928>

Nieuwe Installeer Versies Arriveren -- Aladdin Systems en MindVision Software hebben nieuwe versies uitgebracht van hun populaire installeerprogramma's. Nieuwe mogelijkheden in Aladdin's InstallerMaker 5.0 omvatten hiërarchische pakketten, de mogelijkheid om bestanden te downloaden en installeren van het Web, en het vermogen om instellingen rechtstreeks in te stellen op onderdelen binnen de mappen in het installeer-archief. MindVision's Installer VISE 5.5 voegt pakket-afhankelijkheid toe, archief-rapportweergave op het scherm, compatibiliteit met het eraan komende Mac OS 8.5, en verbeterde automatisering wanneer het installeer-archief wordt geüpdatet. Hoewel beide produkten voornamelijk gericht zijn op ontwikkelaars, werken ze ook goed voor iemand die een verzameling software naar eigen ontwerp binnen een organisatie wil distribueren. Licentievoorwaarden voor commercieel gebruik variëren sterk, maar beide bedrijven bieden speciale licentievoorwaarden voor gekwalificeerde freeware- en sharewareprogrammeurs: Aladdin's Just StuffIt Developers Program en MindVision's gratis Installer VISE licentie. Men kan evaluatiekopieën downloaden van zowel InstallerMaker 5.0 (5.3 MB MacBinary of 6.4 MB BinHex downloads) als Installer VISE 5.5 (1.2 MB Active Installer of 8.2 MB normal installer download). [ACE]

<http://www.mindvision.com/Products/IVISE/IVISE_Index.html>
<http://www.aladdinsys.com/developers/installermaker/>

The Tilery 4.0 balt de vuisten -- Rick Holzgrafe van Semicolon Software bracht afgelopen week The Tilery 4.0 uit, de laatste versie van zijn $15 shareware desktop launcher applicatie. (TidBITS keek naar de voorgaande versie in "Desktop Launchers, Deel IV" in TidBITS-278.) The Tilery verschaft grafische tegels die, wanneer aangeklikt, toepassingen, documenten, mappen, volumes, regelpanelen en servers openen. Bovendien verschijnen tegels voor toepassingen die op dat moment actief zijn. Nieuwe mogelijkheden in versie 4.0 omvatten tegel pop-up menu's voor toegevoegde mogelijkheden, toetsenbord besturing, hot keys voor tegels, werk sets van tegels, en aanpasbare tegel tekst labels. The Tilery 4.0 is een 442K download. [ACE]

<http://www2.Semicolon.com/Rick/Tilery.html>
<http://db.tidbits.com/getbits.acgi?tbart=01479>

ACTION Files 1.1 Centraliseert bestands Organisatie -- Met het uitbrengen van haar ACTION Files 1.1, is Power On Software de grenzen aan het verleggen van wat mogelijk is binnen Open en Bewaar dialogen. De goed ontvangen utility (zie "Zie een aflevering van de ACTION Files" in TidBITS-434) staat u toe over menig commando op Finder-niveau te beschikken vanuit de traditioneel beperkte dialogen. Version 1.1 voegt de mogelijkheid toe de standaardkeuzes voor mappen te veranderen voor toepassingen en keyboard shortcuts aan veelgebruikte items toe te kennen, en het biedt directe ondersteuning van toepassingen die gebruik maken van verschillende variëteiten van de Bewaar Als menu commando's. ACTION Files 1.1 onthoudt ook de plaatsen van de vensters voor iedere toepassing en verbetert de weergave van beschikbare vrije schijf ruimte en andere informatie. ACTION Files 1.1 is verkrijgbaar via verkooppunten voor $50; Now Utilities (en, in het verlengde, Super Boomerang) klanten kunnen opwaarderen voor $30; eigenaren van de versie 1.0 kunnen een gratis upgrade downloaden. Een 30-daagse demonstratieversie is ook verkrijgbaar. [JLC]

<http://www.actionutilities.com/>
<http://db.tidbits.com/getbits.acgi?tbart=04931>

TidBITS Staf op de Macworld Expo NY -- Zoals iedereen zo langzamerhand wel kan dromen, zal de Macworld Expo deze week plaats vinden in New York Stad. Omdat we een veel te virtuele onderneming zijn om een stand te hebben, is de beste manier om ons te zien, te komen naar één van de gebeurens die op het programma staan. Verscheidene TidBITS-stafleden zouden aanwezig moeten zijn bij Netter's Dinner om 6 PM op woensdag, 08-Jul-98. Daarna om 10 AM op donderdag, 09-Jul-98, zal Adam Visual QuickStart Guide exemplaren signeren bij de Peachpit Press kraam (#1645). Voor diegenen die extra betalen om conferenties bij te mogen wonen: Adam zal deelnemen aan de Building a Mac-centric Intranet panel om 11 AM op woensdag, 08-Jul-98 en het Innovaties in Email panel presideren om 10 AM op vrijdag, 10-Jul-98. Ga jullie zien! [ACE]

<http://www.macworldexpo.com/>
<http://avalon.rockefeller.edu/nettersdinner/>
<http://www.tidbits.com/eudora/>


Moof in de hoeven: MacHack '98

door Jerry Kindall <[email protected]>. Vertaling: [MK] & [MSH]

MacHack, dat dit jaar half juni in de Holiday Inn Fairlane in Dearborn, Michigan, wordt gehouden, afficheert zichzelf als "De Jaarlijkse Conferentie voor Voorlopende Ontwikkelaars." Als je Macintosh-software ontwikkelt (of dat graag zou willen), ben je òf al eens naar een MacHack geweest òf hoop je dat nog eens mee te maken. Anders dan bij andere conferenties voor programmeurs gaat het bij MacHack maar voor de helft over het leren van nieuwe programmeertechnieken of over ontwikkelingen op het gebied van besturingssystemen. Voor de andere helft gaat het over sfeer. In feite is dat misschien zelfs wel het belangrijkste ingrediënt, gegeven het feit dat Apple's eigen World Wide Developer's Conference bijna op hetzelfde moment plaats vindt. Zelfs voor iemand die wel iets van techniek weet maar niet een echte Macintosh-programmeur is - zoals ikzelf - kan de sfeer een bedwelmend effect hebben. MacHack is gewoon leuk, op een manier die maar moeilijk kan worden benaderd door een Apple-gesponsord evenement als de WWDC. Dit wordt grotendeels veroorzaakt door de omstandigheid dat MacHack georganiseerd en gerund wordt door vrijwilligers, en betaald door verschillende sponsors, waardoor eventuele bijbedoelingen van een van hen in de praktijk geen kans krijgen.

<http://www.machack.com/>

Een verslag van MacHack zou niet compleet zijn zonder aandacht te besteden aan het meest gezichtsbepalende onderdeel van de conferentie: de Best Hack Contest, onder auspiciën van de MacHax Group. Het doel van deze wedstrijd is, als je tenminste een ontwikkelaar bent, om een programma te bedenken en te maken dat voor eens en altijd duidelijk maakt wat een fantastische programmeur je bent. Alles is daarbij toegestaan, zelfs programmeertechnieken die conflicten met andere programma's veroorzaken. Hoe gedurfder en onzinniger het concept, hoe beter. Je kunt extra aanzien verwerven door het staaltje van je kunnen tijdens de conferentie zelf te ontwikkelen. Daar staat tegenover dat je, als je programma echt iets nuttigs doet, hoogstwaarschijnlijk zult worden getrakteerd op misprijzende kreten als "Nuttig!" bij de presentatie - hoewel de toehoorders dat wegens het komische effect net zo vaak lijken te roepen bij de demonstratie van totaal nutteloze programmaatjes. Als je probeert je andere producten aan de man te brengen zal op even afkeurende toon "Marketing!" naar je hoofd worden geslingerd. En als er eens een technisch probleem in een programma aan het licht komt, hoort de arme ontwikkelaar vaak "Gooi maar op de markt!" uit het publiek.

Het is niet makkelijk om MacHack te bezoeken zonder meegesleurd te worden in de opwinding die ontstaat waar zoveel nieuwe ideeën worden gegenereerd en ook meteen in programmacode worden geconcretiseerd, vooral als je in de machinekamer bent net voor de wedstrijd begint, om middernacht. Ik ben zelf niet zo'n enorme ontwikkelaar, maar vorig jaar werd ik verleid tot het helpen met grafische en geluidsdingetjes voor een project van programmeurs van Corel, en dit jaar vond ik mezelf terug terwijl ik Andy Bachorski en Nat McCully hielp een naam voor hun programma te verzinnen en een opstartscherm te maken. Het was een Breakout spel dat binnen de MacsBug debugger draait - MacsBug hacks zijn altijd populair - en kreeg, afhankelijk van wie je gelooft, de naam BrickPoint dan wel BreakPoint.

Een aantal hacks hadden hun scheppers niet een twee drie demonstratieklaar in de conferentiezaal, zodat de wedstrijdleiding het publiek vermaakte met QuickTime clips uit Babylon 5, een Star Wars-meets-Cops parodie genaamd Troops, het alomtegenwoordige filmpje van Bill Gates die een taart in zijn gezicht gegooid krijgt en oude marketing video's van Apple. Met sommige van deze laatste was geknoeid - "We hebben een reeks twee-bit producten," zei Steve Jobs in een ervan (in het oorspronkelijke filmpje zegt hij "tweeëndertig-bits"). De laserpennen van de aanwezigen speelden Pong op het grote videoscherm.

<http://www.theforce.net/troops/indexQT3.html>

De vindingrijkheid en creativiteit die door de gemeenschap van Macintosh-ontwikkelaars ten toon wordt gespreid is altijd al verbazingwekkend, maar hier, in een paar cafeïne-doordrenkte uren, bereikten ze een climax. Marcus Jager en Quinn "de Eskimo!" gingen een stapje verder dan BrickPoint met hun OFPong, een versie van Pong die draait in de Open Firmware FORTH interpreter van nieuwere Macs (de programmacode van het spel, die wordt gelezen nog voor de Mac zelfs maar opstart, moet door de seriële poort naar binnen worden gebracht.) Eric Long's "Spell It Don't Yell It" herschikt ikonen op het bureaublad zo, dat er woorden worden gespeld. Allon Stern, Dave Kamholz en Jon Gotow presenteerden een hack die luisterde naar de naam "Gestalt & Battery" en desktop computers waaraan een reservestroomvoorziening was gehangen, voorzag van de mogelijkheid om gebruik te maken van de Power Manager (zodat je de staat van de accu in je UPS kon bekijken, alsof je desktop computer een accu van een PowerBook was). Kamholz alleen liet nog een hack zien die Spotlight heette en die een cirkelvormige doorzichtige rand om de cursor heen projecteerde, met als resultaat dat je ikonen op het bureablad kon zien (en manipuleren!) die achter geopende vensters in de Finder lagen. Eric Slosser had uitgevogeld hoe je de snelheid en het bereik van de infrarood poort van een G3 PowerMac kunt opvoeren door de straal smaller te maken en het vermogen te vergroten; de laser-achtige lichtbundel die hier het resultaat van was, bleek zichtbaar in een rookwolk en kon een stukje krant tot ontbranding brengen....

Een set van drie toepassingen betiteld als PhaseShift (door Ed Wynne en Matt Slot) voegt screen-saver-achtige visuele effekten toe achter je bureaublad iconen; deze hack ontving veel bijval toen alle drie effecten gelijktijdig gelanceerd werden. Mike Neil en Leonard Rosenthol droegen de nostalgiese Switcher 98 bij, die bij het wisselen van applicaties het glijdende visuele effekt verschaft van Andy Hertzfelds oorspronkelijke Switcher 98. Rob Churchill, Mike Pinkerton, en Eric Shapiro van Netscape kwamen met Mozetta, een gecorrigeerde Netscape browser, die een pop-op menu toevoegt, dat het mogelijk maakt Web pages automatisch door de Digital's Babelfish (of een potjeslatijn vertaler!) te laten passeren, de naam komt van Rosetta Stone en "Mozilla," de mascotte van Netscape. (Dit idee werd geopperd door Maynard Handley van Apple tijdens de zitting daags tevoren van Thank Apple - Handley raadde aan iets dergelijks in te bouwen in het OS.) Zelfs de inleidende spreker, Chris Espinosa, deed mee aan een of twee hacks, hij leverde een bruikbaar dicteersysteem via spraak, dat mogelijk maakt om letters naar je computer te spreken - tenminste als je het doet in de vorm van hexadecimale ASCII codering. Hilariteit onstond toen hij trachtte de werking te demonstreren met een telefoon.

Er was een aantal"hacks van jongeren", een term die alle bijdragen van studenten omvatte, zelfs van hen, die van universitair niveau waren. Een team droeg een opgewaardeerde versie bij van de klassieke NetBunny hack, een figuur opleverend genaamd Mr. BagelButt. ("Je was vijf toen NetBunny geschreven werd!" protesteerde een aanwezige.) Ook gingen niet alle hacks over echt programmeren: een stel waren QuickTime movies; een ging over een aantal songs. Er waren Rhapsody hacks, een Newton hack en een PalmPilot hack - zelfs een hack voor Hewlett-Packard calculators, door een afwezige gepresenteerd. Veel hacks belaagden Microsoft of Apple; een hack, een MacsBug commando met de naam "jobs", stopte alle lopende programmas behalve de Finder, en presenteerde een boodschap zeggende dat het nodig is om je te richten op prioriteiten om te kunnen slagen. Een andere hack stelt gebruikers in staat om OS-zaken aan of af te zetten om tegemoet te komen aan de veranderlijke Appel OS strategie. Een andere, genaamd de Crash Manager,veroorloofde gebruikers om Microsoft-achtige ongeluksboodschappen te selecteren (inclusief een Blue Screen of Death) of de "Klassieke Apple" bomdialoog en dan te bepalen, hoe vaak het OS zal falen, reikend van "Nooit" tot "De Hele Tijd."

De ASCIIs voor Succesrijk Hacken --De meest opzienbarende, verbazingwekkende hack echter, een die zich duidelijk de absolute "winner" toonde - liet de gelijkenis zien van de iMac met een oude DEC VT termial. Betiteld als de asciiMac, converteert deze hack van Alexandra Ellwood en Miro Jurisic het hele Mac scherm naar ASCII-kunst in kleur - in real time. De programmeurs demonstreerden de hack door QuickTime movies en CloseView-vergrootte schermen te converteren onder donderend applaus. Het was een topper bij de latere ballotage en kreeg de begeerde A-Trap prijs (een Victor rattenval). OFPong, "180 Hack jaren " (dat in het geheel geen programmering inhield), PhaseShift, Spotlight, en Switcher 98 hadden de eer de vijf eerstvolgenden te zijn. De meeste hacks kregen als prijs een of ander souvenier , meestal op een of andere manier grappig gerelateerd aan de hack - bijvoorbeeld de hack van een jeugdige, die een video clip van South Park speelde iedere keer als je een applicatie beeindigde, kreeg oordoppen.

Vorig jaar moesten deelnemers maanden wachten om een CD ROM te krijgen met de hacks van dat jaar. Dit jaar werden de CDs ter plekke gemaakt en waren ze daags na de wedstrijd verkrijgbaar. Als je niet aanwezig was, de hacks zullen spoedig op de MacHack Web site verschijnen.

(Speciale dank aan Lynda Botez voor haar hulp bij dit artikel)

[Dit artikel is een uittreksel van een langere rapportage, met permissie van MWJ, the Weekly Journal for Serious Macintosh Users. Kun je niet genoeg inzichtelijk Macintosh nieuws krijgen, schrijf je dan bij MWJ in voor een gratis, geen verplichtingen, tweedelig proefabonnement, of download enkele van de gratis proefartikelen. Voor verdere informatie kijk naar de MWJ Web site.]

<http://www.gcsf.com/>


Oil of OLE: Documentbeveiliging en Jij

door Geoff Duncan <[email protected]>. Vertaling: [ED], [ JS] & [SL].

Tijdens de afgelopen twee weken zijn er berichten verschenen over beveiligingsproblemen met Microsoft Office 98 voor de Macintosh in Macintosh-nieuwsbladen als MacAddict, MacFixIt, en MacWEEK. Volgens deze verhalen kunnen Microsoft Office 98 applicaties - met name Microsoft Word - willekeurige data lezen van elders op je computer en deze onzichtbaar incorporeren in je Office databestanden.

Hier is het slechte nieuws: Het probleem is reëel en bestaat reeds een tijd. Bovendien gaat het probleem op voor alle applicaties die Microsoft's OLE technologie op de Mac gebruiken en niet alleen Office 98, en er is op dit moment geen garanderende manier om hier omheen te werken.

Het goede nieuws is dat dit probleem voor veel Mac gebruikers niet echt van belang is en dat er snel een oplossing zal komen van Microsoft. Tevens zijn er wel een paar simpele dingen die je kan doen om er significant minder last van te hebben.

Thanks for the Memory -- Het probleem blijkt veroorzaakt te worden door het feit dat applicaties ongeïnitialiseerde OLE datastructuren op je disk schrijven die het mogelijk maken dat informatie in de RAM of op de disk geïncorporeerd wordt in de data van een document. Ook al is deze data niet zichtbaar en wordt zij ook niet gebruikt door OLE applicaties, toch wordt het wel onderdeel van het bestand en is het te lezen door gebruik te maken van andere programma's als BBEdit of een disk editor.

OLE (spreek uit "olé") staat voor Object Linking and Embedding, een door Microsoft ontwikkelde technologie die het, in essentie, applicaties mogelijk maakt samen dezelfde code en data te gebruiken. Hoewel het onder Windows veel meer gebruikt wordt, is OLE al in ieder geval sinds 1992 op de Mac beschikbaar en is het geïncorporeerd in een keur aan veelgebruikte Macintosh-applicaties, waaronder Microsoft Office en Adobe PageMaker. OLE is tevens de basis van Microsoft's COM (Common Object Model) en ActiveX technologieën, en heeft rivaliserende Apple technologieën als Publish & Subscribe en OpenDoc overleefd.

Welnu, wat is dan een ongeïnitialiseerde datastructuur en waarom is het schrijven daarvan op een disk een probleem?

Wanneer een applicatie met bepaalde data om moet gaan, vraagt het aan het besturingssysteem een blok RAM om deze informatie op te slaan. Over het algemeen geeft het besturingssysteem dan ofwel een error (als er geen geheugen beschikbaar is) of een adresverwijzing naar het begin van het geheugenblok.

Wanneer een besturingssysteem een applicatie echter een geheugenblok geeft, betekent dat niet dat het geheugen leeg is, alleen dat het beschikbaar is. Eigenlijk bevat het geheugen vaak nog overblijfselen van de data die er daarvoor in was opgeslagen - soms zelfs nog van voordat de computer voor het laatst herstart werd (hoewel het uitzetten van je Mac de RAM echt leegt). Dit geheugen wordt meestal omschreven als "ongeïnitialiseerd," omdat de oorspronkelijke inhoud niet kan worden voorspeld. Normaal gesproken maakt de inhoud van ongeïnitialiseerd geheugen niet uit: het eerstvolgende wat de applicatie doet is het geheugen initialiseren (bijvoorbeeld het geheugen vullen met allemaal nullen) of het vullen met echte data. In sommige gevallen doen applicaties beide. Maar als de applicatie het geheugen niet initialiseert of overschrijft blijft eventuele data van daarvoor intact.

Iets soortgelijks gebeurt er met diskruimte. Wanneer een applicatie informatie op een disk schrijft, reserveert het besturingssysteem een hoeveelheid diskruimte en schrijft het daar dan de data in. Maar, net als bij RAM, kan het zijn dat deze diskruimte helemaal niet leeg is en er zich nog oudere informatie bevindt. (Wanneer je een bestand weggooit, worden de gedeelten waar het bestand stond niet gewist maar gemarkeerd als beschikbaar voor hergebruik. HIerdoor zijn dataherstellingsprogramma's als Norton Utilities vaak in staat om bestanden die je recentelijk hebt weggegooit "terug te vinden".) Ook hier zal een applicatie over het algemeen de oudere informatie binnen de diskruimte die het wil gebruiken, overschrijven. Maar als een applicatie niet alle toegewezen ruimte overschrijft - en de meeste applicaties zijn daar niet zo precies in - blijft de originele data (of een deel daarvan) bestaan.

Ojee OLE -- Programma's die gebruik maken van OLE vertonen twee soorten gedrag die beschouwd kunnen worden als potentieel beveiligingsprobleem. Ten eerste kan informatie die eerder op de harde schijf opgeslagen lag in disksectoren die beschreven worden met OLE data door ongebruikte delen van de gestructureerde OLE informatie "heen schijnen" en daarmee effectief oude informatie integreren in de gegevens van het nieuwe bestand. Ten tweede, OLE-programma's vergeten om geheugen te initialiseren als ze het van het besturingssysteem krijgen, en schrijven vervolgens die ongeïnitialiseerde gegevens naar disk als ze een bestand bewaren.

Het netto resultaat is dat fragmenten informatie die voorheen op de harde schijf of in het geheugen beschikbaar was nu opgeslagen wordt als deel van de data van een OLE-programma. Er is geen realistische manier om te voorspellen wat er in deze fragmenten zit: het kan deel zijn van een stuk electronische post, vertrouwelijke financiële informatie, of deel van een binhex bijlage bij een emailtje dat je een paar maanden geleden weggegooid hebt. Daarnaast, hoewel OLE-programma's de extra informatie negeren als ze met het bestand werken, blijft de informatie aan dat bestand "plakken" als het het kopieert naar een andere disk, of verstuurt per email.

Uitproberen -- Om dit gedrag te testen heb ik twee kleine programma's in C geschreven. De eerste schrijft een reeks van 4 karakters naar alle vrije ruimte op schijf, waardoor effectief alle vrije ruimte gemarkeerd is (ik maakte gebruik van een ShrinkWrap-volume als proefschijf). Het tweede programma vult al het beschikbare geheugen met een andere reeks van 4 karakters. Ik gebruikte de OLE-programma's die ik beschikbaar had om kleine (een enkel karakter) en grote (100K) testbestanden op de proefschijf te schrijven, en ik bekeek vervolgens deze bestanden met hulpprogrammas zoals BBEdit en Norton Disk Editor. Tussen twee tests herinitialiseerde ik de proefschijf en het geheugen. De OLE-programma's die ik getest heb waren Microsoft Word 5.0a, 5.1a, 6.0.1, en Word 98; Microsoft Excel 4.0, 5.0, en Excel 98; en PageMaker 5.0, 6.0, en 6.5.2. De niet-OLE programma's die ik getest heb waren Nisus Writer 5.1 en FileMaker Pro 4.0.

Het resultaat? Elk groot testbestand dat ik gemaakt had met een OLE-programma bevatte de schijf-testkarakters als onderdeel van de data in het bestand, in stukken tot aan 4K in grootte. Daarnaast schreven de OLE-programma's de geheugen-testkarakters naar het bestand (vaak in de volgorde die gebruikelijk is voor computers met Intel processors) hoewel dit in behoorlijk kleinere stukken gebeurde dan de stukken met de schijf-testkarakters.

De programma's lieten een verschillende mate van gevoeligheid voor dit probleem zien, waarschijnlijk door verschillen in mijn testdocumenten en de manier waarop programma's OLE gebruiken. Microsoft Word 5.x maakt bijvoorbeeld niet uit zichzelf gebruik van OLE-objecten in zijn bestandsstruktuur, en beperkt daardoor het "door-schijnende" effect. Word 5.x bestanden die wel OLE-objecten gebruiken tonen het probleem echter wel. Word 98 lijkt het meest problemen te hebben, met tot aan 10K van "door-schijnende" data in het bestand met het enkele karakter, waarschijnlijk omdat het zo veelvuldig gebruik maakt van OLE.

Geen enkele van de niet-OLE programma's die ik testte maakte bestanden aan waarin de schijf-testkarakters terug te vinden waren, hoewel er één was die de geheugen-testkarakters terug liet komen in zijn bestand (in vier blokken van 16 bytes).

Ik moet hier benadrukken dat ik de testbestanden vers aangemaakt heb, en slechts één keer naar schijf wegschreef: ik wijzigde geen bestanden, en bewaarde ze niet opnieuw, en ik testte niet met reeds bestaande bestanden. (Veel programma's hebben vergelijkbare - maar ongerelateerde - problemen waar materiaal wat verwijderd is uit een document bewaard blijft in de bestanden op disk. Email en database applicaties - en programma's met opties om bestanden "snel te bewaren" zijn typische voorbeelden.) Daarnaast is het zo dat ik geen toegang heb tot de interne werking van OLE of van de geteste programma's, dus deze resultaten tonen slechts een verband aan tussen OLE-programma's en de gerapporteerde beveiligingsproblemen. Hoewel de tests lijken te overtuigen, zijn ze geen sluitend bewijs.

Oud Dom Kwaaltje -- Gewapend met mijn testgegevens onderzocht ik rapportages over soortgelijke problemen met OLE. Bij mijn beste weten werden deze kwesties niet op de Macintosh gemeld voor midden juni, hoewel ze vrijwel zeker al bestaan vanaf de introductie van Word 5.0.

Onder Windows heeft OLE echter blijkbaar al een lang verleden achter zich van het inkapselen van vooraf op schijf bestaande informatie in nieuwe bestanden. Er zijn geen artikelen online te vinden over dit onderwerp, maar Steve Manes van de New York Times meldde het probleem in oktober 1995 toen het terugkeerde in de versie van OLE die werd uitgebracht met Windows 95. (Microsoft had het probleem stilletjes al een keer gerepareerd in een versie "c" van zijn Office programma's voor Windows, in de zomer van 1994.) Microsoft heeft een verbeterde versie van OLE voor Windows verspreid via het Internet, maar de verbetering is nooit terechtgekomen in winkelversies van Windows 95, die tot twee weken terug leverbaar waren. Ik vond geen enkele vermelding van Windows-versies van OLE die niet-eigen informatie vanuit RAM naar schijf schrijven, als deel van nieuwe bestanden.

Bewaar Je Rust -- Microsoft is van plan binnenkort een reparatie van deze problemen uit te brengen, en zal een aankondiging doen op de Macworld Expo, deze week, in New York. Gelukkig zal deze reparatie de problemen herstellen in alle OLE-toepassingen, niet alleen in programma's van Microsoft Office.

<http://www.microsoft.com/macoffice/>

In de tussentijd kunnen bezorgde gebruikers die bestanden samengebruiken of verzenden die gemaakt zijn door OLE-programma's deze problemen voor het grootste gedeelte vermijden door "Bewaar Als" te gebruiken om een bestand te herschrijven op een vers geïnitialiseerde schijf (bijvoorbeeld een floppy, RAM-schijf, of een disk image). Hierdoor zal de meeste "door-schijnende" informatie in het bestand alleen maar lege ruimte zijn van de vers geïnitialiseerde schijf. Merk op dat alleen maar kopiëren van het bestand naar een geïnitialiseerde schijf niet voldoende is: je moet de opdracht "Bewaar Als" gebruiken. Ook moet je elke schijf die je voor dit doel gebruikt initialiseren. Eenvoudigweg de bestanden die er op staan verwijderen is niet genoeg. Gebruik een schijfgereedschap of de opdracht "Wis Schijf" uit het Speciaal-menu van de Finder om een schijf te initialiseren. Als je een bestand op je schijf verandert of weggooit moet je hem opnieuw initialiseren om de hoogste mate van veiligheid te bereiken.

Deze voorzorgsmaatregelen beletten niet dat er gegevens vanuit RAM geschreven worden naar de schijf, maar in mijn tests was dat maar weinig (meestal minder dan 1K in totaal, en dat altijd in kleine stukjes). Daar komt nog bij dat de gegevens vaak Intel byte-ordering gebruiken (zeg maar "achterstevoren" staan voor de Mac). Hierdoor zijn ze moeilijker te ontcijferen voor Mac-gebruikers dan "door-schijnende" gegevens van een schijf.

Ik ken geen complete lijst van OLE-programma's op de Mac. Als je je over een specifiek programma zorgen maakt, kun je de hierboven geschetste techniek gebruiken totdat er een pleisterprogramma beschikbaar is, of contact opnemen met de verkoper van het programma.

Verbaal Proces -- De hier uiteengezette kwesties zijn breed uitgemeten door Macintosh-nieuwskanalen als een nieuw beveiligingsprobleem van Office 98 of Word 98, vaak in alarmerende bewoordingen. Het moet me van het hart dat de reactie van de Macintosh-media op deze kwestie mij heeft verontrust. Ik zou de berichtgeving niet onverantwoordelijk willen noemen, maar termen als onvolledig en misleidend zijn voor de meeste berichten toch wel op hun plaats.

Het gaat er op lijken dat veel Macintosh-nieuwskanalen zich meer inspannen om verhalen te verspreiden dan om ze te onderzoeken of te bevestigen. Nu is dit niet een eenvoudig geval. Ik besteedde meer dan dertig uur tijdens het weekend van Onafhankelijkheidsdag aan het boven water krijgen van deze problemen en aan het uitvoeren van tests. Soms is zo veel werk noodzakelijk om te voorkomen dat je gissingen een hogere status geeft door ze na te vertellen.

Dus, om kort te gaan: dit is niet een probleem van Office 98, het is een probleem van OLE, en bestaat al op zijn minst sinds 1992. Als je OLE-programma's gebruikt, mogelijk gevoelige informatie op je computer hebt staan, en regelmatig documenten deelt met anderen, overweeg dan om die documenten te bewaren naar een vers geïnitialiseerde schijf voordat je ze verzendt, totdat er een verbeterde versie van OLE beschikbaar is.


Niet-winstgevende en niet-commerciële publicaties en Websites mogen artikels overnemen of een HTML link maken als de bron duidelijk en volledig vermeld wordt. Anderen gelieve ons te contacteren. We garanderen de precisie van de artikels niet. Caveat lector. Publicatie-, product- en firmanamen kunnen gedeponeerde merken zijn van hun ondernemingen.

Vorige aflevering | Search TidBITS | TidBITS Homepage | Volgende aflevering