Занятие 2. Элементы управления ActiveX и безопасность

(Продолжительность занятия 25 минут)

Существует несколько методов защиты информации, хранящейся в компьютере, от воздействия неисправных или намеренно причиняющих вред элементов Web-страниц (например, созданных специально с целью уничтожить данные на Вашем жестком диске). На этом занятии Вы узнаете, как пользователи и разработчики могут контролировать загрузку содержимого с Web-страницы.

 

Изучив материал этого занятия, Вы сможете:

Зоны безопасности Internet Explorer

Пользователи Microsoft Internet Explorer располагают средствами контроля за активными компонентами, загружаемыми с Web-страниц (рис. 8.1). В частности, можно запретить использование любых активных компонентов или разрешить загрузку лишь некоторых их категорий.

8-4.jpg

Рис.8.1 Настройка зон безопасности в Internet Explorer

> Выбор уровня безопасности в Internet Explorer

  1. Выберите пункт Internet Options в меню View Microsoft Internet Explorer.
  2. Откройте вкладку Security.
  3. В списке Zone выберите зону безопасности Internet Zone и уровень безопас ности (он задается переключателями в группе под списком).

    Вы можете выбрать одну из четырех зон:

Для каждой их этих зон можно установить один из четырех уровней безопасности, перечисленных в приведенной ниже таблице.

Уровень

Описание

High (Высокий)

Программа просмотра отказывается от любых активных компонентов Web-страниц. Пользователь должен выбрать другой уровень, если он заинтересован в загрузке активных компонентов

Medium (Средний)

Перед загрузкой активного компонента программа просмотра попросит подтверждения у пользователя

Low (Низкий)

Все активные компоненты загружаются автоматически, без подтверждения со стороны пользователя. Этот уровень не рекомендуется для зоны Интернета

Custom (Нестандартный)

Вариант для опытных пользователей, позволяющий по-разному обрабатывать различные активные компоненты

Если Вы установите высокий уровень безопасности для зоны Интернета, ни один ActiveX-компонент не будет загружен на Ваш компьютер. Однако же для локальной интрасети вполне достаточно низкого уровня — риск наткнуться на компонент-вредитель здесь намного ниже. Отметим, что ActiveX-компоненты загружаются только при подключении к серверу по локальной сети.

Подпись кода ActiveX

Microsoft и другие компании-производители программного обеспечения разработали безопасный и надежный способ распространения программ по Интернету, основанный на цифровой подписи кода элементов управления ActiveX.

Подпись элемента управления

Подписание кода элемента управления его разработчиком начинается с получения цифрового сертификата от авторизованной компании. Следует иметь в виду, что элемент управления, подписанный с помощью цифрового сертификата, все же не всегда безвреден. Цифровой сертификат гарантирует лишь, что полученный код:

Установка уровня безопасности

Уровни безопасности и проверка цифровой подписи элемента управления позволяют пользователю контролировать загрузку и запуск элементов управления.

Нестандартный уровень безопасности (см. раздел «Зоны безопасности Internet Explorer» в начале занятия) позволяет указать, как следует обходиться с подписанными и неподписанными элементами управления. Чтобы получить доступ к соответствующим параметрам, щелкните кнопку Settings на вкладке Security.

Параметр

Описание

Enable (Разрешить)

Элемент управления загружается автоматически

Prompt (Требовать подтверждения)

Перед загрузкой запрашивается подтверждение у пользователя

Disable (Запретить)

Элемент управления не загружается

 

Когда на Web-странице Вам встретится незарегистрированный элемент управления, цифровой сертификат укажет автора элемента управления и предоставит Вам возможность загрузить его (рис. 8.2).

8-5.jpg

Рис.8.2 Цифровой сертификат элемента управления

Маркировка кода ActiveX

Подтвердить пользователям, что элемент управления на Вашей Web-странице безопасен можно двумя способами. Вы можете гарантировать, что, во-первых, он безопасен для инициализации и, во-вторых, для использования в сценарии на Web-странице.

Безопасность для инициализации

Элементы управления, которые можно инициализировать в HTML-тегах <PARAM>, должны быть помечены как безопасные для инициализации до чтения этих тегов программой просмотра (например, Microsoft Internet Explorer).

Когда Internet Explorer встречает теги инициализации элемента управления, встроенного в Web-страницу, он выясняет, безопасен ли элемент управления для инициализации. Результат запроса наряду с выбранным пользователем уровнем безопасности определяет, будет элемент управления инициализирован или нет.

Безопасность для использования в сценарии

Объектная модель представляет собой иерархию объектов, определяющую структуру программы, подчиняющейся этой модели. Объектная модель упрощает программирование, создавая отношения между объектами, составляющими программу. Когда Вы помечаете элемент управления как безопасный для использования в сценарии. Вы гарантируете, что объектная модель элемента управления не вызовет проблем с защитой данных (включая их повреждение или утечку).

Пометив элемент управления как безопасный для использования в сценарии, Вы ручаетесь, что сценарий не может использовать какие-либо свойства или методы, которые могли бы повредить компьютеру пользователя. Например, элемент управления, разрешающий запись информации на жесткий диск, не следует помечать как безопасный для использования в сценарии.

Под использованием в сценарии подразумевается включение элемента управления в код сценария (созданного, например, на языке VBScript или JScript), который будет выполняться на Web-сервере или в программе просмотра Web. Встретив на Web-странице элемент управления, Microsoft Internet Explorer выясняет безопасность элемента для использования в сценарии. Результат проверки вместе с выбранным пользователем уровнем безопасности определяет, будет элемент управления использоваться в сценарии или нет.

> Маркировка элемента управления как безопасного для использования в сценарии средствами Visual Basic

  1. Запустите мастер создания приложений Visual Basic.
  2. Выберите существующий проект.
  3. Создайте программу Internet Download Setup для Вашего элемента управления.
  4. Когда появится диалоговое окно Internet Package, щелкните кнопку Safety.
  5. В диалоговом окне Safety установите флажок Safe For Scripting и щелкните кнопку ОК.
  6. Закончите работу с мастером, а затем нажмите кнопку Finish, чтобы завершить создание программы установки элемента управления.

Установка уровня безопасности

Как и в случае подписанных элементов управления, нестандартный уровень безопасности (см. раздел «Зоны безопасности Internet Explorer» в начале занятия) позволяет решить, как Internet Explorer должен обходиться с элементами управления.

Параметр

Описание

Enable (Разрешить)

Элементы управления запускаются автоматически

Prompt (Требовать подтверждения)

Пользователь должен подтвердить запуск элемента управления

Disable (Запретить)

Элементы управления не запускаются

 

Технологии защиты

Один из методов обеспечения безопасной передачи данных — аутентификация клиента и сервера перед началом пересылки данных. Клиент проверяет сервер, к которому он подключается, точно так же как сервер может выяснить, что за клиент к нему подключился. Аутентификация поддерживается двумя протоколами.

Слой защищенных сокетов и технология безопасной связи

Слой защищенных сокетов (Secure Sockets Layer, SSL) и технология безопасной связи (Private Communication Technology, PCT) — это протоколы защиты, основанные на методе открытых ключей. Программные продукты компании Microsoft используют их в виде динамической библиотеки поддержки защищенного канала Schannel.dll. Оба протокола применяются программами просмотра и серверами Интернета для взаимной аутентификации и обеспечения целостности и конфиденциальности сообщений.

Сертификаты

Идентификация клиентов и серверов осуществляется посредством сертификата, установленного на компьютере. Web-сервер (или программа просмотра), устанавливая соединение, выполняет аутентификацию с использованием этого сертификата.

Аутентификация сервера

Internet Explorer (клиентская программа) аутентифицирует сервер Интернета, если последний на стадии инициализации соединения по защищенному каналу SSL/ PCT заявляет о наличии сертификата. Программа-клиент принимает сертификат сервера, проверив криптографические подписи сертификата.

Аутентификация клиента

SSL 3.0 и РСТ 1.0 поддерживают также аутентификацию клиента. Аутентификация клиента при помощи сертификатов с открытыми ключами — одна из первых стадий создания защищенного канала между клиентом и сервером.

Резюме

Пользователи вправе обезопасить себя от таких неприятностей, как повреждение данных или их утечка при загрузке Web-страниц. Например, пользователи Internet Explorer контролируют загружаемый материал посредством уровней безопасности.

Разработчики могут снабжать свои элементы управления ActiveX цифровыми подписями или маркировать их как безопасные для применения пользователями в сценарии. Наличие подписи у элемента управления гарантирует, что загружаемый код разработан квалифицированным разработчиком и не был случайно поврежден или преднамеренно изменен. Маркировка элемента управления как безопасного для инициализации или для использования в сценарии гарантирует, что его можно использовать на Web-странице. Встретив на Web-странице элемент управления, Microsoft Internet Explorer выясняет, не повредит ли он данные при инициализации или при включении в сценарий. Результат проверки и выбранный пользователем уровень безопасности определяют, будет ли использован элемент управления. Все это помогает защитить пользователя от загрузки неисправного или опасного кода.

Для безопасной передачи данных применяется аутентификация клиента и сервера. Слой защищенных сокетов и технология безопасной связи — это протоколы, используемые программами просмотра и серверами Интернета для выполнения взаимной аутентификации и обеспечения целостности и конфиденциальности сообщений.

 

Используются технологии uCoz