Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
Как вы можете видеть, если вы проводите бета-тестирование Windows.NET Server, в безопасности есть довольно много отличий от Windows 2000. Некоторые незначительные, тогда как другие очень очевидны. На мой взгляд, одним из самых тонких моментов является изменение настроек безопасности Internet Explorer. Теперь, когда у вас по умолчанию установлен Internet Explorer 6 на сервере.NET, вы должны знать, как защитить себя с его помощью. Конечно, есть больше дополнительных функций, но больше, чем когда-либо, больше «улучшений» безопасности, включая настройку использования конфигурации Cookie. Это проще и имеет больше смысла в новейшей версии операционной системы на базе Windows Server от Redmond. Давайте посмотрим, как Windows.NET Server обеспечивает безопасность браузера в Internet Explorer 6.
Во-первых, давайте обсудим, почему безопасность браузера так важна. Во-первых, большую часть того, что вы делаете в Интернете, вы делаете через веб-браузер. Информационный век возглавляет веб-браузер, и, что еще более важно, вы также должны знать, что почти все новые платформы операционных систем позволяют администрировать через веб-браузер, поэтому важно, чтобы вы защищали это приложение. Ваша конфиденциальность в Интернете должна быть вашей первоочередной задачей, особенно если вы посещаете сайты, которые могут вызвать у вас проблемы, такие как Porn, Warez или любой другой тип сайта, который вы вполне можете стать целью вредоносной деятельности. Я очень сомневаюсь, что на вас нападут, если вы посетите веб-сайт компании, но вы никогда не знаете наверняка. На самом деле, веб-сайты некоторых компаний вставляли скрипты для замены вашей домашней страницы своей (форма взлома браузера), поэтому не думайте, что даже замечательный сайт не может вызвать у вас проблем. Другие проблемы с безопасностью, безусловно, будут связаны с использованием файлов cookie практически с любого сайта. К счастью, Internet Explorer 6.0 имеет множество новых и обновленных функций конфиденциальности, помогающих защитить вашу систему от вредоносных действий.
Печенье
Каждый раз, когда я слышу это слово, я думаю о красивой коробке Oreo, но это не то, чем является эта форма файлов cookie… это раздражающие маленькие текстовые файлы, которыми засоряется ваш ПК или сервер в ходе использования вашего браузера. и с помощью веб-браузера. Так что же такое cookie? Файл cookie — это не что иное, как небольшой текстовый файл, который размещается на вашем локальном компьютере и будет содержать информацию о вас и, что более важно, о ваших привычках просмотра веб-страниц. Первоначальные намерения Cookie неплохие, они должны были помочь вам в серфинге. Вот несколько примеров того, что файлы cookie могут сделать для вас:
- Запомните имя пользователя и пароль, чтобы вам не приходилось вводить их каждый раз при входе на сайт.
- Запомните настройки страницы, чтобы при повторном посещении страницы у вас были предопределены эти настройки.
Файлы cookie чаще всего используются для настройки вашего браузера или для доставки персонализированного контента, но иногда они могут использоваться для использования вас, поскольку на самом деле они содержат личную информацию о вас. Кроме того, ваш компьютер или сервер будут принимать файлы cookie по умолчанию, и вы никогда не узнаете, кэшируется ли эта информация на вас или нет. Вот 2 опубликованных эксплойта для файлов cookie, которые вы можете увидеть:
Microsoft выпустила бюллетень по безопасности MS01-055, в котором обсуждается уязвимость в Internet Explorer 5.5 и 6.0, которая позволяет веб-мастеру-злоумышленнику читать и изменять файлы cookie путем «внедрения сценария». По замыслу веб-сайтам должен быть разрешен доступ только к собственным файлам cookie. Однако недавно кто-то обнаружил уязвимость, благодаря которой специально сформированный URL-адрес может позволить веб-сайту получить доступ к любому файлу cookie и даже изменить данные в файле cookie. Это очень опасно, поскольку некоторые веб-сайты скрывают в своих файлах cookie личные или конфиденциальные данные, например, пароль для входа на сайт. К сожалению, в настоящее время патч для исправления этой проблемы недоступен, потому что, по словам Microsoft, «человек, обнаруживший эту уязвимость, решил относиться к ней безответственно и намеренно сделал эту проблему общедоступной всего через несколько дней после сообщения о ней Microsoft. ” Microsoft готовит исправление для этой проблемы, а пока рекомендует отключить Active Scripting во всех зонах. Фактор риска высок во всех зонах, кроме зоны ограниченного доступа, в которой активные сценарии отключены по умолчанию. Подробности о том, как это сделать, можно найти в разделе «Часто задаваемые вопросы» бюллетеня по безопасности.
Microsoft выпустила бюллетень по безопасности MS02-015, в котором обсуждается наличие накопительного исправления для Internet Explorer 5.01, 5.5 и 6.0. Этот патч включает в себя все исправления и функции из всех ранее выпущенных патчей для IE 5.01, 5.5 и IE 6. Кроме того, он устраняет две новые уязвимости:
- Неправильное определение зоны безопасности может привести к тому, что сценарий в файле cookie будет выполняться в контексте зоны локального компьютера. Об этом сообщил Андреас Сандблад из Швеции.
- Неправильная обработка тегов объектов может позволить злоумышленнику вызвать любой исполняемый файл на машине жертвы.
Если вы используете Internet Explorer 5.01, 5.5 или 6.0, вам следует применить это исправление. Дополнительные сведения можно найти в статье Q319182 базы знаний Майкрософт.
Как видите, это проблема, и она не исчезнет, а только усугубится. Давайте посмотрим, как вы можете защитить себя помимо чтения всех пресс-релизов Microsoft и применения горячих исправлений.
Защита от файлов cookie
Есть 3 способа защитить себя… Время от времени удаляйте файлы cookie, убедитесь, что папка с файлами cookie (где бы она ни находилась, в зависимости от используемой версии) активно сканируется антивирусом, и всегда посещайте Центр обновления Windows в Интернете, чтобы узнать, есть ли там какие-либо новые исправления для вашего браузера, основанные на использовании файлов cookie.
http://v4.windowsupdate.microsoft.com/en/default.asp
Другой способ — заблокировать их. В этой статье мы рассмотрим основные различия между более старыми версиями IE и более новой IE 6. В более старых версиях вы могли заблокировать использование файлов cookie или настроить его так, чтобы он запрашивал вас первым. Во-первых, основное отличие заключается в размещении конфигураций использования файлов cookie в IE. Раньше вам приходилось заходить в определенную зону, переходить на пользовательские уровни и изменять настройки использования файлов cookie, как показано здесь:
После того, как вы настроите использование файлов cookie на включение, отключение или запрос, вы увидите, что как только вы получите сайт, который хочет разместить файл cookie на вашем локальном компьютере, он либо прозрачно примет его, либо отключит, либо предложит вам, как показано здесь:
Вот и все! Это так просто настроить безопасность вашего браузера. Теперь, когда вы настроили это в Windows IE 5.x, вам нужно знать различия между этой версией и уровнем браузера Windows.NET и XP по умолчанию для IE 6.
Internet Explorer версии 6
Теперь в Internet Explorer 6.0 вы можете выборочно блокировать различные типы файлов cookie. Internet Explorer 6.0 может предложить вам «6» предопределенных настроек от принятия файлов cookie до блокировки файлов cookie. Давайте рассмотрим их подробно:
Вы можете просмотреть новые политики на новой вкладке «Конфиденциальность» в окне «Свойства обозревателя». Чтобы попасть на эту вкладку, откройте IE и перейдите в Инструменты => Свойства обозревателя.
Вы можете видеть, что самый строгий уровень безопасности, который вы можете реализовать, — это установить уровень конфиденциальности «Блокировать все файлы cookie». После того, как вы установите и примените это, браузер заблокирует все файлы cookie, которые он обнаружит, и файлы cookie, которые уже есть на вашем локальном компьютере, не смогут быть прочитаны веб-сайтами. Это только для параноиков!
Далее идет Высокий уровень конфиденциальности, который блокирует файлы cookie, которые не имеют политики конфиденциальности или пытаются использовать личную информацию на вашем компьютере без вашего согласия. Помните, что файлы cookie могут содержать многое о вас, включая любую информацию (например, ваш адрес), которую вы когда-то вводили на сайт, а теперь она помещена в файл cookie на вашем локальном компьютере.
Теперь вы можете установить Medium High. Этот параметр позволит вам заблокировать сторонние файлы cookie, не имеющие политики конфиденциальности. Файлы cookie со сторонних веб-сайтов, которые не имеют компактной политики, которая может представлять собой сжатое машиночитаемое заявление о конфиденциальности, будут заблокированы для вашей защиты. Файлы cookie сторонних веб-сайтов, которые используют вашу личную информацию без вашего явного согласия, будут заблокированы, а также будут заблокированы файлы cookie сторонних веб-сайтов, которые используют вашу личную информацию без вашего неявного согласия.
При использовании средней настройки файлы cookie со сторонних веб-сайтов, которые не имеют компактной политики (сокращенного машиночитаемого заявления о конфиденциальности), будут заблокированы. Файлы cookie со сторонних веб-сайтов, которые используют вашу личную информацию без вашего неявного согласия, будут заблокированы. Файлы cookie со сторонних веб-сайтов, которые используют вашу личную информацию без вашего неявного согласия, будут удалены с вашего компьютера при закрытии Internet Explorer.
При использовании Low будут заблокированы файлы cookie со сторонних веб-сайтов, которые не имеют компактной политики (сжатого машиночитаемого заявления о конфиденциальности). Файлы cookie со сторонних веб-сайтов, которые используют вашу личную информацию без вашего неявного согласия, будут удалены с вашего компьютера при закрытии Internet Explorer.
Наконец, при включении Принять все файлы cookie все файлы cookie будут сохранены на вашем компьютере. Существующие файлы cookie на вашем компьютере могут быть прочитаны создавшими их веб-сайтами.
Internet Explorer 6 в Windows XP и.NET Server помогают защитить вашу конфиденциальность простым и понятным способом. Как видно из приведенного выше примера, мы смогли применить больше настраиваемых параметров к безопасности браузера.
Другие параметры IE 6, о которых вам следует знать, — это расширенная кнопка вкладок конфиденциальности и параметр «Отчеты о конфиденциальности». Сначала давайте посмотрим на дополнительные параметры вкладки.
Расширенные настройки конфиденциальности
Когда вы нажимаете и просматриваете расширенные настройки конфиденциальности, у вас может быть возможность переопределить автоматическую обработку файлов cookie и указать еще более точные параметры. На этом рисунке мы видим, что вы можете выбирать между основными и сторонними файлами cookie, а также всегда разрешать сеансовые файлы cookie.
Переопределение веб-сайтов
Еще один вариант конфигурации — нажать кнопку «Изменить» под кнопкой «Дополнительно», чтобы установить переопределение веб-сайтов. На рисунке ниже вы можете видеть, что этот набор параметров позволяет вам переопределять определенные веб-сайты, как показано здесь. Я установил правило всегда блокировать offlimits.com с этой локальной машины.
Отчет о конфиденциальности
Internet Explorer 6 также позволяет просматривать политику конфиденциальности веб-сайта. Эта политика расскажет следующее:
* Какую информацию собирает сайт
* Кто дает информацию
* Как он использует информацию
Многие веб-сайты предоставляют заявление о конфиденциальности (платформа для настроек конфиденциальности — P3P), которое вы можете просмотреть:
1. Откройте Internet Explorer, в меню «Вид» выберите «Отчет о конфиденциальности».
2. Дважды щелкните веб-сайт, для которого вы хотите просмотреть политику конфиденциальности.
Недостаток безопасности здесь заключается в том, что вам нужно быть осторожным, поскольку, хотя IE 6 позволит вам просматривать политику, это не означает, что сам сайт не соответствует своей собственной политике. Вы можете только увидеть, что он есть.
Зоны безопасности
Зоны безопасности все еще используются и не будут рассматриваться в этой статье, но для сравнения между версией браузера IE 6 и более старой версией, такой как версия 5.x, вы должны знать, что IE 6 по-прежнему использует зоны безопасности, и имеет «Пользовательский уровень», который вы можете установить, который откроет то же диалоговое окно, в котором вы ранее установили настройки Cookie.
Вы можете видеть в настройках безопасности, что элемент управления файлами cookie не указан, и теперь вам нужно будет настроить файлы cookie на вкладке «Конфиденциальность», как показано ранее.
В этой статье мы рассмотрели основные различия в безопасности между Windows.NET Server и Интернет-браузером по умолчанию в XP, между Internet Explorer 6 и более старой версией браузера, а точнее, IE 5.x. Для получения дополнительной информации об этих настройках вы можете просмотреть следующие ссылки:
Инструкции по настройке IE 6
http://www.microsoft.com/windowsxp/pro/using/howto/security/ie6.asp
http://www.microsoft.com/windows/ie/using/howto/privacy/config.asp
Часто задаваемые вопросы о функции конфиденциальности Internet Explorer 6
http://msdn.microsoft.com/library/default.asp?url=/Workshop/security/privacy/overview/privacyfaq.asp
Как создать настраиваемый файл импорта конфиденциальности
http://msdn.microsoft.com/Workshop/security/privacy/overview/privacyimportxml.asp?frame=true
Как развернуть политики конфиденциальности P3P на вашем веб-сайте
http://msdn.microsoft.com/Workshop/security/privacy/overview/createprivacypolicy.asp?frame=true
Конфиденциальность в Internet Explorer 6
http://msdn.microsoft.com/library/enus/dnpriv/html/ie6privacyfeature.asp?frame=true