Главная
      Безопасность
      Обзор программ
      Интересные примочки
      Обратная связь
      Гостевая книга


Что такое ActiveX? Чем мы рискуем?

ActiveX- это технология, разработанная Microsoft Corporation для распространения программного обеспечения через Internet. Как и апплеты Java, управляющие элементы ("control") могут быть включены в документы Web, где они обычно выглядят как "разумные" интерактивные рисунки. Существует определенное количество доступных управляющих элементов для Microsoft Internet Explorer (в настоящее время -единственный браузер, который их поддерживает), в том числе - элемент прокрутки, фоновый звуковой генератор, управляющий элемент для запуска апплетов Java. В отличие от Java, платформо-независимого языка программирования, управляющие элементы ActiveX распространяются как двоичные файлы и должны быть специально откомпилированы для каждой машины и операционной системы. Модель безопасности ActiveX сильно отличается от той, что используется в апплетах Java. Java добивается безопасности, ограничивая возможности программы выполнением только безопасных действий. Напротив, ActiveX не вводит ограничений на то, что может делать управляющий элемент. Вместо этого каждый управляющий элемент должен иметь цифровую "подпись" автора, распознаваемую системой "Authenticode". Подписи утверждаются доверенными "утверждающими организациями", такими, как VeriSign. Имея утвержденную подпись, разработчик обязуется не включать в свои программы вирусов и других вредных вещей. Если вы загрузили подписанный управляющий элемент ActiveX, и он порушил вашу машину, то вам известно, по крайней мере, кого в этом винить. Эта модель полностью перекладывает ответственность за безопасность компьютерной системы на плечи пользователя. Перед загрузкой управляющего элемента, который не имеет подписи или имеет подпись, но она подтверждена неизвестной организацией, браузер выводит предупреждение, что это действие может быть небезопасным. Пользователь может отказаться от загрузки документа или рискнуть продолжить. Процесс подтверждения гарантирует, что управляющий элемент ActiveX не может распространяться анонимно, и что в процесс его распространения не могут включиться посторонние. Однако процесс не дает гарантии, что элемент будет вести себя правильно. Хотя и маловероятно, что подписанный и подтвержденный управляющий элемент будет производить вредные действия, но это возможно. Ряд весьма вредных управляющих элементов ActiveX были созданы и распространены Chaos Computer Club (CCC) из Гамбурга, Германия Они все не имеют подписи, что значит, что при обычной настройке Internet Explorer предупредит пользователя об опасности. Однако неосторожный пользователь, изменивший настройку Internet Explorer на "низкую безопасность" (Low Security) или согласившийся загрузить и выполнить управляющий элемент несмотря на предупреждение, подвергнется таким образом нападению. Основная проблема в модели безопасности ActiveX состоит в том, что представляется трудным отследить управляющий элемент, совершающий нежелательные действия - например, спокойно передающий конфиденциальную информацию о конфигурации машины пользователя на удаленный сервер, или заражающий локальную сеть вирусом, или даже изменяющий Internet Explorer так, что его механизм проверки кода не будет правильно работать. Действия такого рода могут быть либо совсем не замечены, либо оставаться незамеченными долгое время. Даже если повреждение замечено быстро, у Internet Explorer нет механизмов, позволяющих определить, какие контрольные элементы были загружены. Это делает весьма трудной задачу определения того, какой именно элемент ActiveX нанес вред вашей машине. ActiveX можно выключить полностью через меню Internet Options->Security в Microsoft Internet Explorer. Для полного выключения ActiveX выберите "высокую степень защиты" (High Security), для получения предупреждения перед запуском управляющих элементов - "среднюю степень защиты" (Medium Security). Если вы решили запустить управляющий элемент, то внимательно изучите его и тщательно зафиксируйте на бумаге его имя, автора, дату и время загрузки. Не сохраняйте эту информацию на диске, поскольку его содержимое легко может быть уничтожено самим элементом. "Низкий уровень безопасности" (Low Security) позволяет запускать элементы ActiveX без предупреждения и независимо от наличия подписи и, таким образом, не рекомендуется к использованию. IE 4.0 позволяет различать управляющие элементы в зависимости от того, получены они с сервера в Internet. сервера в локальной сети или с сервера из специального списка узлов, пользующихся или не пользующихся доверием. известия Украины - голая правда


BROXER HOME PAGE
www.broxer.narod.ru


Хостинг от uCoz