Безпека IE8: зміни в роботі ActiveX, Різне, Інтернет-технології, статті

Це друга частина циклу статей з блогу розробників Internet Explorer 8, Присвячених зміни в плані безпеки розробляється браузера. У першій статті розробники повідали про технологію захисту пам’яті DEP (NX). А тепер поговоримо про зміни, що торкнулися ActiveX.

Привіт, я Метт Кроулі (Matt Crowley), програмний менеджер по розширюваності Internet Explorer. Команда була дуже схвильована можливістю обговорення функцій безпеки Internet Explorer 8 Beta 1 на конференції з безпеки RSA, яка пройшла в квітні. У цій статті про безпеку IE8 я розповім про зміни в роботі ActiveX в IE8, і резюмую існуючі функції безпеки, пов’язані з ActiveX і додані в нову версію браузера.

Per-user ActiveX
Запустивши IE8 в Windows Vista, стандартний користувач може встановити елементи управління ActiveX в свій власний профіль, при цьому йому не потрібні адміністраторські права. Ця зміна дозволяє організаціям використовувати переваги User Account Control, дозволяючи стандартним користувачам встановлювати ActiveX-компоненти, що використовуються в щоденній роботі.

Якщо користувач встановить шкідливий ActiveX-елемент, то це не торкнеться всю систему, тому що даний елемент був встановлений тільки для даного користувача. Так як установка може бути обмежена однією користувальницької обліковим записом, то ризик злому (і, в підсумку, загальна вартість адміністрування комп’ютера користувача) буде значно нижче.

Ця функція була розроблена з урахуванням повної сумісності – більшість існуючих елементів управління ActiveX не потребуватимуть зміни, щоб використовувати всі переваги даної функції, єдиною зміною буде перепакування. Як і в Internet Explorer 7, коли сайт зробить спробу установки елемента керування, користувачеві буде показана інформаційна панель.


Натиснувши на неї, користувач зможе вибрати, чи встановлювати даний елемент керування для всіх користувачів або тільки для даного облікового запису. Опції в даному меню будуть значно відрізнятися в залежності від пакета управління та прав користувача.

Доступні опції залежать від настройок групових політик безпеки з установки ActiveX для кожного користувача, а також від того, чи був даний елемент управління перепаковані з тим, щоб дозволити установку для окремого користувача.


У той час, як дана функція дозволяє знизити загальну вартість володіння, адміністратори, які використовують керовані оточення, можуть заборонити дану функцію в групових політиках. За додатковою інформацією щодо даної функції звертайтеся до статті Non-Admin ActiveX Controls в документації IE8 Beta 1 на MSDN.

ActiveX Opt-In
Враховуючи, що будь-який бінарний механізм розширення збільшує область для атаки, в Internet Explorer 7 була представлена ​​функція ActiveX Opt-In. За замовчуванням ActiveX Opt-In блокує більшість елементів управління на комп’ютері користувача. Коли користувач зайде на сайт із заблокованим ActiveX-елементом, йому буде відображена інформаційна панель з наступним текстом: “Цей сайт хотів запустити наступне доповнення “ABC Control” від “XYZ Publisher”. Якщо ви довіряєте цього сайту, і доповненню і хочете його запустити натисніть тут … “. Далі користувач в цій панелі зможе запустити даний елемент управління.

За замовчуванням ActiveX Opt-In дозволяє запуск деяких елементів:


За додатковою інформацією щодо ActiveX Opt-In звертайтеся до статті на MSDN Best Practices for ActiveX.

Per-Site ActiveX
Коли користувач заходить на сайт, що містить ActiveX, IE8 виробляє безліч перевірок, включаючи визначення того, звідки цей елемент може запускатися. Ця функція відома як Per-Site ActiveX – Захисний механізм, що допомагає запобігти переміщення на шкідливий елемент управління. Якщо певний елемент управління встановлено, але його запуск на певному сайті не дозволений, з’явиться інформаційна панель, яка запитає користувача про необхідність запуску встановленого елементу управління на даному сайті.


Дана інформаційна панель може бути використана для вирішення запуску даного елемента управління на певному або на всіх сайтах.


Адміністратори, що керують системами зі встановленим Internet Explorer 8, можуть заздалегідь налаштувати елементи управління та пов’язані з ними домени. Такі настройки краще можуть бути відрегульовані за допомогою групових політик.

За додатковою інформацією щодо Per-Site ActiveX звертайтеся до статті Per-Site ActiveX в MSDN документації по IE8 Beta 1.

Посилення Per-Site ActiveX за допомогою технології ATL SiteLock
Якщо ваш елемент управління ActiveX розроблений з метою використання тільки на вашому сайті, то прив’язування його саме до вашого домену ускладнить іншим сайтам використання його для шкідливих цілей. За додатковою інформацією звертайтеся до статті Developing Safer ActiveX Controls Using the Sitelock Template.

Зменшення ризику експлойтів за допомогою DEP / NX, Killbits та обслуговування
Працюючи з вашими комп’ютерами і Windows, IE8 допомагає зменшити можливості використання шкідливих елементів управління за допомогою Data Execution Prevention. За додатковою інформацією про те, як переконається, що ваш елемент управління ActiveX сумісний з DEP / NX, а також інформацією про те, як використовувати додаткові технології безпеки, звертайтеся до статті Безпека IE8: технологія захисту пам’яті DEP (NX).

Якщо використовується шкідливий елемент управління, то у IE є пігулка – killbit, яка блокує використання в браузері певних ActiveX-елементів. Виробники, які знають про уразливість в своїх ActiveX-елементах, повинні зв’язатися з Microsoft, щоб додати killbit в наступне оновлення. За додатковою інформацією звертайтеся до статті KB240797 How to stop an ActiveX control from running in Internet Explorer.

Як і зі стандартним ПЗ, важливо тримати елементи управління в актуальному стані, щоб забезпечити сумісність з новими системами і зменшити ризик злому за допомогою впровадження потоків безпеки. За додаткової інформації з оновлення ActiveX елементів дивіться статтю Good Practices for ActiveX Updates.

Робота з користувачами за допомогою Manage Add-Ons
У той час як більшість користувачів і не підозрюють про вплив внутрішньої політики щодо ActiveX елементів на них, вони можуть отримати інформацію про встановлені в Internet Explorer елементах за допомогою Manage Add-Ons. Важливо, щоб розробники переконувалися в тому, що їх елементи не тільки безпечні і продуктивні, але й відкриті в наданої ними інформації.

В Manage Add-Ons елементи управління ідентифікуються по імені, видавцеві, версії та Class ID. Враховуючи це, ми заохочуємо розробників впроваджувати у свої релізи ці мета-дані.

За додатковою інформацією про те, як перевірити, що ваш ActiveX елемент правильно передає інформацію про себе, звертайтеся до статті Add-on Management Improvements in Internet Explorer 8 або статті на MSDN під назвою Best Practices for ActiveX.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*