Trong khi một số chuyên gia bảo mật vỗ tay tán dương phiên bản Service Pack 2 cho Windows của Microsoft, một số công ty chuyên phát hành phần mềm qua Web đang theo dõi sản phẩm này với con mắt đầy nghi ngờ và lo sợ.
Trong nhiều năm, các nhà phát triển phần mềm đã cung cấp những ứng dụng hỗ trợ trong thế giới trình duyệt Web Internet Explorer (IE) của Microsoft qua giao diện lập trình ứng dụng API (application programming interface) độc quyền rất mạnh có tên ActiveX của hãng này. Công nghệ ActiveX thiết lập thêm những ứng dụng mở rộng, hay các "plug-ins," bên trong một trang Web.
Nhưng một công cụ có thể chạy phần mềm tốt trong một trình duyệt cũng có thể được sử dụng để chạy một phần mềm xấu mang tính phá hoại. Và kết quả là ActiveX đã bị liên can vào một loạt rất nhiều các kịch bản lỗi bảo mật, chủ yếu nhất trong thời gian gần đây là các hoạt động cài đặt lén của phần mềm quảng cáo adware, phần mềm gián điệp spyware và các loại phần mềm phá hoại tồi tệ hơn.
Bản nâng cấp bị trì hoãn rất lâu và trục trặc Service Pack 2 của Microsoft, vốn tập trung vào bảo mật, vừa được phát hành trong tháng 8, đã cắt cụt bớt đôi cánh của ActiveX bằng một hệ thống cảnh báo cẩn trọng hơn. Hệ thống này sẽ được kích hoạt khi một website cố gắng chạy một chương trình ActiveX control, mở một cửa số pop-up, hoặc chạy mã lệnh nào khác trên các máy trạm truy cập vào.
Trong quá khứ, IE chỉ hỏi người dùng một câu gọn lỏn là "yes" hay "no" trên thông báo bảo mật, trước khi cho phép website thực hiện việc cài đặt plug-in lên máy người dùng. Với SP2, Microsoft chặn các khả năng kiểm soát ActiveX ngay từ thiết lập ngầm định, và đưa ra một cảnh báo rõ ràng rằng phần mềm không rõ tung tích có thể phá hỏng máy tính của bạn, và việc cho phép cài đặt đôi khi không dễ thực hiện.
Các thay đổi này đã khiến một số nhà cung cấp phần mềm lệ thuộc vào ActiveX hoảng hốt, và gia tăng những lo ngại cho rằng Microsoft đang lợi dụng những đòi hỏi bảo mật để thực hiện mục tiêu chiến lược cạnh tranh của mình.
"Chúng tôi đang nín thở chờ đợi nó (SP2) được triển khai hoàn toàn." - ông Alex St. John, người giúp tạo ra phần mềm đồ hoạ DirectX của Microsoft trong thời kỳ ông hoạt động cho công ty này từ 1992 đến 1997 và hiện đang là chủ trang game WildTangent 3D, cho biết - "Hầu hết những gì mà người dùng sẽ nhận được là các cảnh báo và rối tung lên vì SP2, và cuối cùng chỉ để huỷ bỏ toàn bộ việc cài đặt. Một phần lớn người dùng sẽ không nhận ra được điều gì đã xảy ra sau những thao tác vô hiệu của mình... Nó sẽ phá huỷ tất cả các mô hình kinh doanh liên quan tới việc hiển thị nội dung trên trình duyệt web".
Một nhà cung cấp phần mềm khác đồng ý rằng SP2 sẽ phá vỡ việc phát hành các sản phẩm 3D plug-in qua web của mình.
"Nó sẽ làm người dùng rối trí." - Tony Parisi, sáng lập viên của Media Machines và đồng tác giả của các chuẩn đồ hoạ web VRML (Virtual Reality Modeling Language) và X3D (Extensible 3D) nhận xét - "Và tôi nghĩ rằng nó sẽ gây khó khăn cho các nhà phát triển phần mềm độc lập, những người đã từng sử dụng web cùng các phân phối sản phẩm khá rẻ và hiệu quả qua IE. Tôi hiểu về những vấn đề bảo mật, nhưng tôi nghĩ rằng nó sẽ là một bước lùi của các ISV (nhà phát triển phần mềm độc lập - independent software vendors)".
Sau bao năm phàn nàn...
Các vấn đề bảo mật không phải là nhỏ. Việc thắt chặt ActiveX của Microsoft được thực hiện sau vô số lời phàn nàn từ nhiều năm qua rằng hãng này không có biện pháp bảo vệ hệ thống đủ chặt chẽ, đặc biệt là bảo mật trong ActiveX. Hai năm rưỡi trước, Bill Gates, đồng sáng lập Microsoft, đã tuyên bố rằng bảo mật đã trở thành công việc ưu tiên số một của Microsoft.
IE từ lâu đã yêu cầu người sử dụng xác nhận họ có muốn nạp ActiveX control về máy không. Nhưng ở bản tiền SP2 (pre-SP2), các cảnh báo này đều có thể bị làm giả bởi các hacker phá hoại, cũng như không hiệu quả khi bị lặp lại nhiều lần, và quá dễ dàng để click xác nhận khi chưa hiểu rõ.
Tâm điểm của các thay đổi trong SP2 là một thanh thông tin mới của Microsoft, một dải mỏng nằm ngay bên dưới phần địa chỉ web, chuyên đưa ra các thông điệp cảnh báo. Để giảm bớt lo ngại rằng người dùng có thể bỏ qua thanh thông tin này, SP2 đưa ra một hộp thoại chỉ dẫn thanh thông tin liên tục, cho tới khi người dùng check vào một ô yêu cầu không chỉ dẫn nữa.
Phụ thuộc vào việc một website cố gắng thực hiện điều gì trên máy truy cập vào, thanh thông tin đưa ra một loạt các loại cảnh báo khác nhau. Khi một site cố gắng thực thi một thao tác ActiveX control, thanh này sẽ thông báo: "This site might require the following ActiveX control... Click here to install".
Microsoft cho biết nghiên cứu của mình chỉ ra rằng hệ thống mới chưa phải hoàn hảo, nhưng hầu hết người dùng sẽ có thể nhận biết được thông báo một cách dễ dàng hơn.
Các thay đổi với ActiveX này không chỉ là những vấn đề tiềm tàng có thể đe doạ bản SP2.
Microsoft và các đối tác đã dự kiến việc phát hành SP2 sẽ tạo ra một trận lụt các cuộc gọi yêu cầu hỗ trợ kỹ thuật tới các nhà cung cấp sản phẩm phần mềm. Một nghiên cứu nhận thấy rằng các nhà quản trị hệ thống thông tin lo ngại đây sẽ là lần nâng cấp Windows khó khăn nhất từ trước tới nay.
Ngoài ra, các nhà sản xuất máy tính cũng cảnh báo tới khách hàng của mình rằng họ nên làm các công việc cần thiết tại nhà trước khi download SP2 qua tính năng Windows Automatic update.
Sau lý do bảo mật, chiến lược nào?
Với làn sóng khủng hoảng bảo mật liên quan tới Windows hết lớp này tới lớp khác, một nhà phân tích ngành công nghệ đã biện hộ cho việc thắt chặt ActiveX của Microsoft.
"Đây là một vấn đề mà Microsoft sẽ bị chỉ trích nếu làm, nhưng cũng bị chỉ trích nếu không làm." - Peter O'Kelly, một chuyên gia phân tích của Burton Group cho biết - "Nếu phải lựa chọn giữa một bên là khắc phục bảo mật cho mọi người và bên còn lại là sự bất tiện cho một số ISV và một số người dùng cuối, Microsoft sẽ chẳng có nhiều lựa chọn để quyết định".
Các chỉ trích nhằm vào Microsoft cho rằng các biện pháp bảo mật của hãng này đã được thực hiện theo cách hỗ trợ hoạt động kinh doanh của mình và "thí tốt" công việc kinh doanh của các nhà phát triển khác.
Chẳng hạn, ông St. John lưu ý rằng với việc chuyển các công nghệ Web phổ biến sang khuôn thức .Net của Microsoft và ngôn ngữ lập trình C# , ông có thể bỏ qua giao thức bảo mật ActiveX mới. Nhưng do nhiều tay chơi game của site ông sử dụng kết nối dial-up, nên việc download một nền tảng .Net khá đồ sộ trở thành một lựa chọn bất khả thi.
Làm cho ActiveX khó sử dụng hơn có thể tạo ra một ảnh hưởng bất lợi đối với vài tên tuổi phần mềm cạnh tranh với các công nghệ của Microsoft. Trong đó bao gồm cả QuickTime Media Player của Apple, RealPlayer của RealNetworks, phần mềm đọc văn bản Acrobat của Adobe Systems, cùng phần mềm hình ảnh động Flash và phần mềm máy chủ ứng dụng Flex của Macromedia.
Một nhà cung cấp phần mềm lệ thuộc vào Flash để tạo ra các ứng dụng trên Internet đưa ra vấn đề đơn giản hơn. "Hầu hết những vấn đề bảo mật của mạng không liên quan tới ActiveX." - ông David Temkin, giám đốc công nghệ của Laszlo Systems ở San Francisco cho biết - "Microsoft đang sử dụng nó như một cơ hội để thắt chặt hơn khả năng kiểm soát của mình đôi với các công nghệ máy trạm. Đó không phải là một điều tốt đẹp đối với Flex, Real, QuickTime, và vô số hãng tương tự khác".
Microsoft phủ nhận quan điểm cho rằng hãng đang sử dụng vấn đề bảo mật như một lý do mang tính chiến lược. "Những thay đổi này được thực hiện để mang lại lợi ích cho người sử dụng, đưa lượng thông tin nhiều nhất vào tay họ, để họ có thể kiểm soát và nhận được những thông báo cần thiết, nhằm đưa ra những quyết định chính xác." - một đại diện Microsoft cho biết - "Chúng tôi không ngăn cản các nhà sản xuất phần mềm hoạt động kinh doanh".
Âm vọng quá khứ?
Sự phòng vệ của Microsoft có thể gióng lên hồi chuông cho những ai "ăn theo" sự phát đạt của hệ điều hành Windows. Năm 1999, công ty này đã gạt bỏ những cáo buộc của đối thủ hệ điều hành Caldera, khi hãng này cho rằng Microsoft đã âm mưu để gây ra các thông báo lỗi đe doạ xuất hiện với phần mềm DR-DOS của Caldera. Microsoft đã dàn xếp vụ kiện này vào năm 2000.
Ngày nay, những lời chỉ trích Microsoft nhắm vào hai cuộc đấu cạnh tranh quyết liệt, nơi hệ thống cảnh báo ActiveX của SP2 có thể ảnh hưởng: các chương trình giải trí media player và các ứng dụng dựa trên Internet.
Do Windows Media Player được cài sẵn trước trên hệ điều hành của Microsoft, nó có một lợi thế trực tiếp so với các đối thủ cạnh tranh như RealPlayer hay QuickTime. Nếu các cảnh báo mới của SP2 càng đe doạ người dùng load các ActiveX control về máy, lợi thế này sẽ còn được tăng cường hơn nữa.
RealNetworks hiện đang có một vụ kiện chống độc quyền chưa xét xử nhằm vào Microsoft, trong đó Real cáo buộc Windows đã độc quyền trong việc hạn chế người sử dụng trong việc lựa chọn các phần mềm đa phương tiện trực tuyến - online media player.
Với lý do đang theo đuổi vụ kiện này, RealNetworks từ chối bình luận về vấn đề nảy sinh từ SP2.
Adobe, vốn đang ngày càng cạnh tranh hơn với Microsoft, từ chối bình luận về khả năng tổn thương tiềm ẩn của các plug-in đọc tài liệu Acrobat PDF của mình. Apple từ chối phỏng vấn nhưng phát biểu: "Chúng tôi đã thử nghiệm QuickTime trên bản SP2 của Windows XP và chưa thấy bất kỳ hiệu ứng bất lợi nào đối với nội dụng dựa trên plug-in".
Macromedia cũng tìm cách chế ngự những phàn nàn về khả năng phát hành phần mềm Flash Player của mình qua SP2, nhấn mạnh rằng từ mùa xuân vừa qua, hãng đã cộng tác với Microsoft trong một phiên bản phát hành để cân bằng giữa bảo mật và tính dễ sử dụng.
Theo ông Kevin Lynch, giám đốc kiến trúc phần mềm của Macromedia, các hãng phần mềm độc lập cho rằng các cảnh báo ActiveX là có hại chỉ nên xem như là một phiên bản thử nghiệm chưa chính thức.
Về mặt cạnh tranh, Microsoft đã chọn không sử dụng phiên bản chương trình Flash Player mới nhất của Macromedia là Flash 7. Đó là phần mềm người dùng cần để chạy các ứng dụng hoạt động với nền tảng Flex của Macromedia dành cho các ứng dụng dựa trên Internet. Sự kết hợp của phần mềm máy chủ Flex và Flash 7 nhằm mục tiêu cung cấp chính xác loại ứng dụng Internet tốc độ cao, tập trung vào đồ hoạ mà Microsoft đang lên kế hoạch cung cấp trong phiên bản Windows Longhorn sắp tới.
Một đại diện của Microsoft cho biết công ty đã chọn Flash 6 thay vì Flash 7 vì những lý do bảo mật và kỹ thuật.
Macromedia cho biết Microsoft ban đầu đã chỉ ra những lo ngại của Uỷ ban châu Âu về những phần mềm tự động cập nhật như một cú đánh nhằm vào Flash 7. Microsoft sau đó đã rút lại các lý do lo ngại này.
Và trong khi các nhà cung cấp plug-in đang căng mình để chạy theo SP2, Laszlo Systems đang chuẩn bị cho những điều tồi tệ hơn sắp đến, vì đã nhận thức được rằng những nhà phát triển phần mềm dựa vào Flash và ActiveX vẫn đang sống được nhờ... sự ban ơn của Microsoft.
Bình Minh (Tổng hợp)