Tuesday, October 17th, 2017

Настройка безопасности в Internet Explorer 7

Published on Март 3, 2009 by   ·   Комментариев нет

В новом Internet Explorer 7 большое внимание уделено повышению безопасности работы пользователя в сети. Это достигается тем, что IE7 может работать в защищенном режиме (Protected Mode). Также в новую версию браузера встроен антифишинг-фильтр (Phishing Filter).

Для защищенной передачи данных в IE7 можно использовать улучшенный алгоритм шифрования 256-битным .
В общих чертах эти новшества широко освещены в прессе. Мы же расскажем здесь о тонкой настройке новых опций безопасности в IE7.

Новые настройки процесса аутоинтефикации
Как известно, HTTP поддерживает разные методы аутентификации. Простейший из них называется базовой аутентификацией.
Базовый метод включает в себя запрос имени пользователя и пароля, которые передаются на сервер в зашифрованном виде. При этом шифрование осуществляется на основе 64-битного ключа. Данный шифр является ненадежным и его легко можно взломать.
В качестве примера можно привести процедуру дешифровки имени пользователя и пароля, зашифрованных методом базовой аутентификации с помощью программы Fiddler (http://www.fiddlertool.com/fiddler).

Пусть, к примеру, пользователь авторизовался методом базовой аутентификации. Тогда Fiddler выдаст следующие данные:

Код:
GET / HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2)
Host: www.example.com
Authorization: Basic RXJpYzpUb3BTZWNyZXQ=

Для декодирования имени пользователя и пароля нужно в меню программы Fiddler выбрать пункты Tools > Text Encode/Decode и мы увидим раскодированные имя пользователя и пароль (в данном примере username:Eric,Password:TopSecret).

В IE7 метод базовой аутентификации сохранен для обеспечения совместимости, но при авторизации с использованием этого метода, выводится следующее предупреждение:

Внимание: Данный сервер запросил ваши имя и пароль, передача которых будет осуществлена небезопасным образом (для шифрования будет использован метод базовой без использования защищенного соединения)

Для того чтобы предотвратить базовую аутентификацию при передаче данных по защищенным каналам (SSL/TLS) при использовании IE7, нужно внести в реестр следующие изменения:
создать параметр DisableBasicOverClearChannel типа DWORD в ключе реестра HKEY_CURRENT_USER\\\SOFTWARE\\\Microsoft\\\Windows\\\CurrentVersion\\\Internet Settings\\\ и присвоить этому параметру ненулевое значение.
После этих изменений, браузер IE7 будет использовать базовый метод аутентификации только в том случае, если это единственный метод подключения к серверу. Если же связь с сервером возможна также на основе защищенного соединения, то выберет его.

best essay writing service

Новый механизм блокирования скриптов с использованием зон безопасности
В IE7 реализована новая логика при группировании веб-узлов по зонам безопасности.
Как известно, IE6 и более ранние версии этого браузера при обнаружении тега SCRIPT с параметром SRC выполняют скрипт, на который дана ссылка, так, как будто бы atoledo он включен в текст данной страницы. Эта особенность не позволяет пользователю заблокировать нежелательные скрипты, включенные в контекст страницы через комбинацию SCRIPT – SRC.

Рассмотрим пример. Предположим, мы загрузили страницу http://good.example.com, содержащую следующий код:

Код:
<html>
<body>
<script src=»http://good.example.com/useful.js»></script>
This page is running on good.example.com. It has very valuable content that lots of folks want to see.
<script src=»http://evil.example.com/annoy.js»></script>
</body>
</html>

Теперь предположим, что http://evil.example.com/annoy.js содержит такой код:

for (var x=0; x<100000; x ){
alert(«Annoy annoy annoy»); // Make the user mad.
}

Понятно, что, зайдя на страницу http://good.example.com, мы увидим 100000 сообщений Annoy annoy annoy, т.к. будет выполнен скрипт, находящийся на совсем другом веб-узле.
В предыдущих версиях IE бороться с подобным явлением можно было только одним способом: нужно было внести сайт http://good.example.com в зону ограниченных узлов. После этого при открытии данного веб-узла, IE блокировал все скрипы этого ресурса. К сожалению, блокировались не только нежелательные скрипты, типа annoy.js, но и те, которые безопасны и требуются для корректной работы сайта (в рассмотренном случае — скрипт useful.js).
В IE7 включен не только текста кода страницы, но и источников скриптов.
Теперь, если внести какой-либо веб-ресурс в зону ограниченных узлов, это обеспечит блокирование скриптов с этого ресурса не только при открытии его страниц, но и в тегах SCRIPT – SRC, ссылающихся на скрипты с этого ресурса.
Проще говоря, в рассмотренном выше примере будет заблокирован только скрипт annoy.js, а скрипт useful.js будет выполнен. Для этого достаточно внести сайт http://evil.example.com в список ограниченных узлов.

Источник: http://blogs.msdn.com/

























Смотрите также:

Readers Comments (Комментариев нет)

Comments are closed.

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]