КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Угроза активного содержимого
|
|
|
|
Активное содержимое – это активные объекты, встроенные в web-страницы. В отличие от пассивного содержимого (текстов, рисунков, аудиоклипов), активные объекты включают в себя не только данные, но и программный код.
Агрессивный программный код, попавший на компьютер «жертвы», способен вести себя как компьютерный вирус или как агентская программа. Так, например, он может производить разрушение данных, но может взаимодействовать с удалёнными программами и, тем самым, работать как средство удалённого администрирования или готовить почву для его установки.
К встраиваемым компонентам web-страниц относятся Jаvа-апплеты и элементы ActiveX.
Jаvа-апплеты –это специальные программные компоненты, предназначенные для встраивания в web-страницы и передачи их на компьютер пользователя, где они и выполняются в режиме интерпретации специальным модулем браузера (средства просмотра web-страниц).
Схема применения апплетов выглядит следующим образом: апплет создаётся, компилируется и сохраняется на web-сервере. В web-страницу, выставляемую на сервере, вставляется ссылка на местоположение апплета. При получении страницы с сервера браузер загружает апплет и начинает его выполнять.
Поскольку апплет выполняется на стороне клиента (т.е. на компьютере пользователя), существует потенциальная опасность того, что полученная из сети неизвестная программа может оказать разрушающее воздействие на локальную систему или прочитать конфиденциальную информацию.
Разрушающие воздействия могут выражаться, например:
§ в удалении или искажении файлов;
§ в запуске программ, потребляющих ресурсы системы (которые ограничены), что может привести к деградации и вынужденной перезагрузке системы;
|
|
|
§ в уничтожении других приложений, выполняющихся параллельно.
По этой причине апплеты должны удовлетворять ограничениям безопасности, обеспечиваемым как самим языком Java, так и браузерами, в составе которых выполняются апплеты. Апплет не может:
§ осуществлять операции чтения-записи в локальной файловой системе; просматривать содержимое каталогов; создавать, удалять, переименовывать файлы и каталоги;
§ устанавливать сетевые соединения с другими компьютерами, кроме компьютера, с которого он был загружен;
§ запускать на выполнение другие программы на компьютере, где он сам выполняется;
§ использовать библиотеки других языков программирования (например, языка С++), хотя сам язык Java такую возможность предоставляет;
§ изменять системные параметры (Java-апплет может читать только некоторые из системных параметров, например, имя и версию операционной системы).
Проверка соблюдения правил безопасности встроена в язык Java (специальный класс java.lang.SecurityManager) и выполняется браузером (экземпляр этого класса выполняется в составе виртуальной Java-машины браузера). Если обнаружено нарушение правил безопасности, возникает исключение, сигнализирующее о возникновении ситуации, требующей специальной обработки. Апплет перехватывает исключение и реагирует заданным образом.
Элементы управления ActiveX – это самостоятельные программные компоненты, которые выполняются в среде программы-приложения, в которое они встроены. Возможность использования их на web-страницах обеспечивается браузером, как в случае MS Internet Explorer, или дополнительными модулями к браузеру – в случае Netscape Navigator.
Использование элементов ActiveX позволяет существенно расширить функциональные возможности при работе с web-страницами. Стандартные элементы управления ActiveX, разработанные фирмой Microsoft, могут быть использованы, например, для отображения дерева каталогов клиентского компьютера, для работы с содержимым баз данных, для реализации мультимедийных эффектов, для отображения данных способом, не возможным в рамках языка написания web-страниц (NTML), например, вывести текст под углом, и др.
|
|
|
При загрузке web-страницы браузер проверяет, установлен ли элемент управления на компьютере пользователя, и в случае отсутствия автоматически начинает процедуру загрузки элемента ActiveX с сервера.
Стратегия безопасности для элементов управления ActiveX отличается от рассмотренной для Java-апплетов. Если средства разработки Java-апплетов вообще не позволяют им обращаться к информации, расположенной на компьютере пользователя, то на элементы ActiveX таких ограничений не накладывается. Дело в том, что элементы ActiveX используются не только в web-приложениях, но и как строительные единицы при разработке обычных приложений, поэтому они имеют доступ ко всем функциональным возможностям ОС.
Поэтому безопасность обеспечивается совместным использованием системы безопасности браузера и мероприятиями, связанными с регистрацией и установкой элементов управления ActiveX на компьютере пользователя. Прежде чем загрузить элемент управления ActiveX с сервера, браузер проверяет, снабжён ли он цифровой подписью.
Правом подписывать элементы управления обладают разработчики, получившие сертификат подлинности, подтверждающий правильность и подлинность информации о фирме или индивидуальном программисте.
Если цифровая подпись имеется, то в диалоговом окне будет отображено её содержимое (название фирмы-разработчика, название и дата регистрации элемента управления ActiveX, название организации, выдавшей сертификат подлинности). В противном случае на экран выдаётся предупреждение об отсутствии регистрации данного элемента управления. Пользователь должен сам решить, стоит ли загружать такой элемент управления, который создан неизвестно кем и может быть потенциально опасен.
Если элемент управления был однажды установлен на компьютере пользователя, то при загрузке новых версий этого же элемента наличие цифровой подписи не проверяется.
Принято считать, что безопасный элемент управления ActiveX не должен выполнять следующих действий:
|
|
|
• доступ к информации, расположенной на локальном компьютере, включая информацию о пользователе;
• предоставление закрытой, частной информации о локальном компьютере или сети;
• модификация и разрушение информации, находящейся на локальном компьютере или в сети;
• ошибки в работе элемента управления, которые потенциально могут полностью вывести из строя браузер;
• полный захват процессора или памяти компьютера во время своей работы;
• выполнение потенциально опасных системных команд, включая выполнение загрузочных модулей.
Для того чтобы пользователь был уверен, что все эти действия действительно не выполняются элементом управления ActiveX, разработчик обычно включает в процедуру установки элемента управления его регистрацию как безопасного. При использовании элемента управления на web-странице браузер проверяет, отмечен ли он в системном реестре как безопасный. Если это не так, то на экран будет выведено окно с предупреждением о небезопасности выполнения данного элемента управления.
Определённые действия на стороне пользователя могут выполнять также сценарии (скрипты) на языках JavaScript и VBScript, программный код которых встраивается непосредственно в web-страницу. Возможности, предоставляемые языками JavaScript и VBScript, ограничиваются управлением окнами браузера и отображения содержимого страницы. Поэтому потенциальная опасность таких скриптов невелика. В качестве негативных последствий можно указать некорректную работу с браузером, что может привести к его «зависанию», а также «навязчивую рекламу», выражающуюся в независящем от желания пользователя открытии новых окон браузера и загрузки в них других web-страниц.
Защищающаяся сторона должна оценить угрозу своему компьютеру и соответственно настроить браузер так, чтобы опасность была минимальна. Если угроза нежелательна, приём Java-апплетов, элементов ActiveX и активных сценариев можно отключить или запрашивать разрешение на приём того или иного активного объекта.
|
|
|
|
|
Дата добавления: 2014-12-27; Просмотров: 630; Нарушение авторских прав?; Мы поможем в написании вашей работы!