Безопасность IE8: изменения в работе ActiveXИсточник: thevista
Это вторая часть цикла статей с блога разработчиков Internet Explorer 8, посвященных изменениях в плане безопасности разрабатываемого браузера. В первой статье разработчики поведали о технологии защиты памяти DEP (NX). А теперь поговорим о изменениях, коснувшихся ActiveX. Привет, я Мэтт Кроули (Matt Crowley), программный менеджер по расширяемости Internet Explorer. Команда была очень взволнована возможностью обсуждения функций безопасности Internet Explorer 8 Beta 1 на конференции по безопасности RSA, которая прошла в апреле. В этой статье о безопасности IE8 я расскажу об изменениях в работе ActiveX в IE8, и резюмирую существующие функции безопасности, связанные с ActiveX и добавленные в новую версию браузера. Per-user ActiveX Если пользователь установит вредоносный ActiveX-элемент, то это не затронет всю систему, так как данный элемент был установлен только для данного пользователя. Так как установка может быть ограничена одной пользовательской учетной записью, то риск взлома (и, в итоге, общая стоимость администрирования компьютера пользователя) будет значительно ниже. Данная функция была разработана с учетом полной совместимости - большинство существующих элементов управления ActiveX не будут нуждаться в изменениях, чтобы использовать все преимущества данной функции, единственным изменением будет перепаковка. Как и в Internet Explorer 7, когда сайт произведет попытку установки элемента управления, пользователю будет показана информационная панель.
Нажав на нее, пользователь сможет выбрать, устанавливать ли данный элемент управления для всех пользователей или только для данной учетной записи. Опции в данном меню будут значительно отличаться в зависимости от пакета управления и прав пользователя. Доступные опции зависят от настроек групповых политик безопасности по установке ActiveX для каждого пользователя, а также от того, был ли данный элемент управления перепакован с тем, чтобы позволить установку для отдельного пользователя.
В то время, как данная функция позволяет снизить общую стоимость владения, администраторы, использующие управляемые окружения, могут запретить данную функцию в групповых политиках. За дополнительной информацией относительно данной функции обращайтесь к статье Non-Admin ActiveX Controls в документации IE8 Beta 1 на MSDN. ActiveX Opt-In По умолчанию ActiveX Opt-In разрешает запуск некоторых элементов:
За дополнительной информацией по ActiveX Opt-In обращайтесь к статье на MSDN Best Practices for ActiveX. Per-Site ActiveX
Данная информационная панель может быть использована для разрешения запуска данного элемента управления на определенном или на всех сайтах.
Администраторы, управляющие системами с установленным Internet Explorer 8, могут заранее настроить элементы управления и связанные с ними домены. Такие настройки лучше могут быть отрегулированы с помощью групповых политик. За дополнительной информацией относительно Per-Site ActiveX обращайтесь к статье Per-Site ActiveX в MSDN документации по IE8 Beta 1. Усиление Per-Site ActiveX с помощью технологии ATL SiteLock Уменьшение риска эксплойтов с помощью DEP/NX, Killbits и обслуживания Если используется вредоносный элемент управления, то у IE есть пилюля - killbit, которая блокирует использование в браузере определенных ActiveX-элементов. Производители, которые знают об уязвимостях в своих ActiveX-элементах, должны связаться с Microsoft, чтобы добавить killbit в следующее обновление. За дополнительной информацией обращайтесь к статье KB240797 How to stop an ActiveX control from running in Internet Explorer. Как и со стандартным ПО, важно держать элементы управления в актуальном состоянии, чтобы обеспечить совместимость с новыми системами и уменьшить риск взлома с помощью внедрения потоков безопасности. За дополнительной информации по обновлению ActiveX элементов смотрите статью Good Practices for ActiveX Updates. Работа с пользователями с помощью Manage Add-Ons В Manage Add-Ons элементы управления идентифицируются по имени, издателю, версии и Class ID. Учитывая это, мы поощряем разработчиков внедрять в свои релизы эти мета-данные. За дополнительной информацией о том, как проверить, что ваш ActiveX элемент правильно передает информацию о себе, обращайтесь к статье Add-on Management Improvements in Internet Explorer 8 или статье на MSDN под названием Best Practices for ActiveX. |