Wednesday, August 23rd, 2017

Безопасность IE8: изменения в работе ActiveX

Published on Февраль 27, 2009 by   ·   Комментариев нет

Это вторая часть цикла статей с блога разработчиков Internet Explorer 8, посвященных изменениях в плане безопасности разрабатываемого браузера. В первой статье разработчики поведали о технологии защиты памяти DEP (NX). А теперь поговорим о изменениях, коснувшихся ActiveX.

how to learn chinese language

Привет, я Мэтт Кроули (Matt Crowley), программный менеджер по расширяемости Internet Explorer. Команда была очень взволнована возможностью обсуждения функций безопасности Internet Explorer 8 Beta 1 на конференции по безопасности RSA, которая прошла в апреле. В этой статье о безопасности IE8 я расскажу об изменениях в работе ActiveX в IE8, и резюмирую существующие функции безопасности, связанные с ActiveX и добавленные в новую версию браузера.

Per-user ActiveX
Запустив IE8 в Windows Vista, стандартный пользователь может установить элементы управления ActiveX в свой собственный профиль, при этом ему не потребуются администраторские права. Это изменение позволяет организациям использовать преимущества User Account Control, позволяя стандартным пользователям устанавливать ActiveX-компоненты, используемые в ежедневной работе.

Если пользователь установит вредоносный ActiveX-элемент, то это не затронет всю систему, так как данный элемент был установлен только для данного пользователя. Так как установка может быть ограничена одной пользовательской учетной записью, то риск взлома (и, в итоге, общая стоимость администрирования компьютера пользователя) будет значительно ниже.

Данная функция была разработана с учетом полной совместимости — большинство существующих элементов управления ActiveX не будут нуждаться в изменениях, чтобы использовать все преимущества данной функции, единственным изменением будет перепаковка. Как и в Internet Explorer 7, когда сайт произведет попытку установки элемента управления, пользователю будет показана информационная панель.

Activex в учдздщкук 8

Нажав на нее, пользователь сможет выбрать, устанавливать ли данный элемент управления для всех пользователей или только для данной учетной записи. Опции в данном меню будут значительно отличаться в зависимости от пакета управления и прав пользователя.

Доступные опции зависят от настроек групповых политик безопасности по установке ActiveX для каждого пользователя, а также от того, был ли данный элемент управления перепакован с тем, чтобы позволить установку для отдельного пользователя.
В то время, как данная функция позволяет снизить общую стоимость владения, администраторы, использующие управляемые окружения, могут запретить данную функцию в групповых политиках. За дополнительной информацией относительно данной функции обращайтесь к статье Non-Admin ActiveX Controls в документации IE8 Beta 1 на MSDN.

ActiveX Opt-In
Учитывая, что любой бинарный механизм расширения увеличивает область для атаки, в Internet Explorer 7 была представлена функция ActiveX Opt-In. По умолчанию ActiveX Opt-In блокирует большинство элементов управления на пользовательском компьютере. Когда пользователь зайдет на сайт с заблокированным ActiveX-элементом, ему будет отображена информационная панель со следующим текстом: «Данный сайт хотел запустить следующее дополнение «ABC Control» от «XYZ Publisher». Если вы доверяете данному сайту, и дополнению и хотите его запустить нажмите здесь…». Дальше пользователь в этой панели сможет запустить данный элемент управления.

По умолчанию ActiveX Opt-In разрешает запуск некоторых элементов:

  • Небольшой список общих элементов управления, предназначенных для работы в браузере
  • Элементы управления, которые использовались в IE до обновления до IE8
  • Элементы, установленные через IE.

За дополнительной информацией по ActiveX Opt-In обращайтесь к статье на MSDN Best Practices for ActiveX.

how to get your ex back

Per-Site ActiveX
Когда пользователь заходит на сайт, содержащий ActiveX, IE8 производит множество проверок, включая определение того, откуда данный элемент может запускаться. Данная функция известна как Per-Site ActiveX — защитный механизм, помогающий предотвратить перемещение на вредоносный элемент управления. Если определенный элемент управления установлен, но его запуск на определенном сайте не разрешен, появится информационная панель, которая спросит пользователя о необходимости запуска установленного элемента управления на данном сайте.

Подключение activex ie8

Данная информационная панель может быть использована для разрешения запуска данного элемента управления на определенном или на всех сайтах.
Администраторы, управляющие системами с установленным Internet Explorer 8, могут заранее настроить элементы управления и связанные с ними домены. Такие настройки лучше могут быть отрегулированы с помощью групповых политик.

За дополнительной информацией относительно Per-Site ActiveX обращайтесь к статье Per-Site ActiveX в MSDN документации по IE8 Beta 1.

Усиление Per-Site ActiveX с помощью технологии ATL SiteLock
Если ваш элемент управления ActiveX разработан с целью использования только на вашем сайте, то привязывание его именно к вашему домену усложнит другим сайтам использование его для вредоносных целей. За дополнительной информацией обращайтесь к статье Developing Safer ActiveX Controls Using the Sitelock Template.

Уменьшение риска эксплойтов с помощью DEP/NX, Killbits и обслуживания
Работая с вашими компьютерами и Windows, IE8 помогает уменьшить возможности использования вредоносных элементов управления с помощью Data Execution Prevention. За дополнительной информацией о том, как убедится, что ваш элемент управления ActiveX совместим с DEP/NX, а также информацией о том, как использовать дополнительные технологии безопасности, обращайтесь к статье Безопасность IE8: технология защиты памяти DEP (NX).

Если используется вредоносный элемент управления, то у IE есть пилюля — killbit, которая блокирует использование в браузере определенных ActiveX-элементов. Производители, которые знают об уязвимостях в своих ActiveX-элементах, должны связаться с Microsoft, чтобы добавить killbit в следующее обновление. За дополнительной информацией обращайтесь к статье KB240797 How to stop an ActiveX control from running in Internet Explorer.

Как и со стандартным ПО, важно держать элементы управления в актуальном состоянии, чтобы обеспечить совместимость с новыми системами и уменьшить риск взлома с помощью внедрения потоков безопасности. За дополнительной информации по обновлению ActiveX элементов смотрите статью Good Practices for ActiveX Updates.

Работа с пользователями с помощью Manage Add-Ons
В то время как большинство пользователей и не подозревают о влиянии внутренней политики относительно ActiveX элементов на них, они могут получить информацию об установленных в Internet Explorer элементах с помощью Manage Add-Ons. Важно, чтобы разработчики убеждались в том, что их элементы не только безопасны и производительны, но и открыты в предоставляемой ими информации.

В Manage Add-Ons элементы управления идентифицируются по имени, издателю, версии и Class ID. Учитывая это, мы поощряем разработчиков внедрять в свои релизы эти мета-данные.

За дополнительной информацией о том, как проверить, что ваш ActiveX элемент правильно передает информацию о себе, обращайтесь к статье Add-on Management Improvements in Internet Explorer 8 или статье на MSDN под названием Best Practices for ActiveX.

Мэттью Дэвид Кроули
Программный менеджер по расширяемости Internet Explorer

Источник: http://blogs.msdn.com/ie/

zp8497586rq
zp8497586rq










Смотрите также:

Tags:

Readers Comments (Комментариев нет)

Comments are closed.

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]