Конечно же, в использовании слова «Безопасность» в сочетании с Internet Explorer есть что-то, что заставит многих администраторов рассмеяться. Наверное, все это потому, что до Windows XP Service Pack 2, безопасность в Internet Explorer 6 была «не реалистичной». Windows XP Service Pack 2 расширил свои возможности в области обеспечения безопасности Internet Explorer, однако степень защиты оставляла желать лучшего до сих пор. В Internet Explorer 7, Microsoft внедрила большое количество характеристик безопасности, которые требовались Internet Explorer в последнее время. Конечно, только время сможет точно ответить на вопрос, безопасен ли Internet Explorer 7, или нет. В данной статье я расскажу Вам о некоторых новых чертах безопасности в Internet Explorer.
Прощай SSL 2.0
В Internet Explorer 6, если пользователь заходил на сайт, требующий зашифровки HTTPS, использовалась сессия зашифровки SSL 2.0 по умолчанию. Однако у пользователя оставалась опция ручного переключения на TLS, который более безопасен. В Internet Explorer 7, Microsoft отказалась от SSL 2.0. Это значит, что некоторые сайты должны быть перекодированы, однако специалисты заявляют, что сайтов с SSL 2.0, не поддерживающих TLS, совсем не много.
Безопасность по умолчанию?
Еще одно изменение HTTPS связано с ответом Internet Explorer при нахождении страницы, зашифрованной в HTTPS, и имеющей содержимое HTTP. Когда Internet Explorer 6 встречает подобную страницу, то выдает запрос: хочет ли пользователь отобразить безопасное и небезопасное содержимое сразу. Так, пользователь не вполне ясно понимает возможные последствия отображения небезопасного содержимого безопасной Web-страницы. Internet Explorer 7 будет отображать только абсолютно безопасное содержимое страниц в кодировке HTTPS.
Изменения в зоне безопасности
Уже много лет Internet Explorer поддерживает использование зон безопасности. Идея подобных зон заключается в том, что некоторые Web-сайты гораздо более надежны, чем остальные. К примеру, если у Вас есть установка корпоративного Intranet, вы вероятно будете полностью доверять своему серверу и не допускать проникновения на него материалов неподобающего содержания. Вероятно, Вы не будете доверять всем сайтам подряд.
Именно для этого Microsoft создала зоны безопасности, которые являются частью Internet Explorer уже на протяжении многих лет. Они включают Internet, локальный Intranet, надежные сайты и ограниченные сайты. Web-сайт может быть классифицирован в зависимости от принадлежности к одной из указанных групп, и Internet Explorer ограничит доступ к нему, соответственно. К примеру, если сайт находится в зоне ограниченных сайтов, пользователь может посетить данный сайт, но Internet Explorer не позволит установить контроль Active X с сайта и не допустит выполнение некоторых сценарием, имеющихся на сайте. С другой стороны, если сайт является частью локального Intranet, то здесь будет очень небольшое количество ограничений. Существует небольшое количество ограничений, касающихся использования контроля Active X (частично не расписанный Active X), однако, за исключением этого, можно абсолютно свободно использовать ресурсы сайта без помех браузера.
В Internet Explorer 7 имеется одно важное изменение в технике работы зон безопасности. В Microsoft появилась идея, что домашние пользователи в большинстве своем не обладают intranet и соответствующая зона должна быть полностью удалена. Причина удаления заключается в том, что зона локального Intranet является, по существу, зоной, в которой разрешенный сайты функционируют с небольшими возможностями. Раз домашние пользователи не обладают локальным Intranet, то соответствующая зона не выполняет никаких других функций, кроме сосредоточения всех отброшенных другими зонами сайтов с несоответствующим содержанием.
Microsoft оценила данную идею и модифицировала Internet Explorer 7 так, что он проверяет соединение компьютера пользователя с доменом. Если компьютер является частью домена, то зона локального Intranet работает в обычном для себя режиме; если нет — то Internet Explorer заключает, что машина принадлежит домашнему пользователю, и деактивирует зону Intranet.
Фильтр мошенничества
Одним из лучших нововведений в Internet Explorer 7 является фильтр мошенничества. надувательство стало огромной проблемой в последние годы. Существует большое количество различных способов Интернет-мошенничества, однако, самый популярный — использование электронной почты для рассылки писем соответствующего содержания. Мошенник может отослать Вам письмо, якобы из Вашего банка, с просьбой войти на свою учетную запись по некоторым насущным причинам (обычно для проверки баланса). E-mail затем будет содержать ссылку на Web-сайт вашего банка.
В принципе, содержание ссылки не вызывает ничего подозрительного, однако письмо E-mail модифицируется так, что реальная ссылка зачастую не соответствует той, что вы видите на экране. К примеру, ссылка может быть следующей http://www.mybank.com, но реальный переход приведет Вас по ссылке http://207.68.172.246. Адрес IP, по которому Вас отсылает ссылка, приведет непосредственно на Ваш банковский сервер. Цель данного сервера — предоставить Вам попытку входа. При входе сайт регистрирует (крадет) номер Вашей учетной записи и пароль, а затем — отсылает вас к реальному сайту указанного банка. Обычно пользователи думают, что лишь неверно ввели пароль, даже не подозревая о том, что они передали номер своей учетной записи и пароль прямо в руки вора.
Фильтр мошенничества был создан специально для ограничения подобных действий. При активации данного фильтра, он будет производить анализ всех URL, которые вы посещаете для того, чтобы удостовериться, что это действительно «подлинные» сайты, а не хитроумные ловушки.
К примеру, предположим, что вы кликнули на ссылку в письме, которая привела Вас к http://207.68.172.246/result.aspx?id=4. первым делом фильтр удалит знак вопроса и все, что за ним следует. В ASP, знак вопроса используется в качестве механизма прохождения переменных данных при переходе с одной Web-страницы на другую. Так как эти переменные могут содержать личную информацию и не помогают идентифицировать подлинность сайта, они попросту удаляются. В данном случае будет оставлен URL http://207.68.172.246/result.aspx
Далее фильтр сравнит указанный URL со списком заранее известных лицензионных сайтов. В нашем случае, URL выглядит как явно обманный сайт, однако он попросту использует адрес IP вместо имени домена для перехода к MSN. MSN является надежным сайтом, так что наш URL в полном порядке. Если бы данный URL не содержался в перечне надежных сайтов, то фильтр бы провел поиск по перечню заранее известных обманных сайтов, а при необходимости — использовал бы некоторые специальные техники определения идентичности сайта. После определения аутентичности сайта фильтром пользователь увидит предупреждающее сообщение о том, что данный сайт является ловушкой (о том, что данный сайт возможно ловушка). Если сайт надежен, т пользователь не увидит никаких сообщений.
Заключение
Только время скажет, насколько безопасен оказался Internet Explorer 7. В настоящее время Internet Explorer 7 и Windows Vista находятся на стадии тестирования, так что они еще не подвергались такому детальному осмотру и испытанию, как Internet Explorer 6. Я видел несколько неподтвержденных репортажей о недостатках Internet Explorer 7, однако, даже если эти доклады правдивы, Internet Explorer 7 все еще является тестовым продуктом и в нем не может не быть некоторых недоработок.
www.windowsnetworking.com
Tags: Windows Vista, Windows XP