Это вторая часть цикла статей с блога разработчиков Internet Explorer 8, посвященных изменениях в плане безопасности разрабатываемого браузера. В первой статье разработчики поведали о технологии защиты памяти DEP (NX). А теперь поговорим о изменениях, коснувшихся ActiveX.
Привет, я Мэтт Кроули (Matt Crowley), программный менеджер по расширяемости Internet Explorer. Команда была очень взволнована возможностью обсуждения функций безопасности Internet Explorer 8 Beta 1 на конференции по безопасности RSA, которая прошла в апреле. В этой статье о безопасности IE8 я расскажу об изменениях в работе ActiveX в IE8, и резюмирую существующие функции безопасности, связанные с ActiveX и добавленные в новую версию браузера.
Per-user ActiveX
Запустив IE8 в Windows Vista, стандартный пользователь может установить элементы управления ActiveX в свой собственный профиль, при этом ему не потребуются администраторские права. Это изменение позволяет организациям использовать преимущества User Account Control, позволяя стандартным пользователям устанавливать ActiveX-компоненты, используемые в ежедневной работе.
Если пользователь установит вредоносный ActiveX-элемент, то это не затронет всю систему, так как данный элемент был установлен только для данного пользователя. Так как установка может быть ограничена одной пользовательской учетной записью, то риск взлома (и, в итоге, общая стоимость администрирования компьютера пользователя) будет значительно ниже.
Данная функция была разработана с учетом полной совместимости - большинство существующих элементов управления ActiveX не будут нуждаться в изменениях, чтобы использовать все преимущества данной функции, единственным изменением будет перепаковка. Как и в Internet Explorer 7, когда сайт произведет попытку установки элемента управления, пользователю будет показана информационная панель.
Нажав на нее, пользователь сможет выбрать, устанавливать ли данный элемент управления для всех пользователей или только для данной учетной записи. Опции в данном меню будут значительно отличаться в зависимости от пакета управления и прав пользователя.
Доступные опции зависят от настроек групповых политик безопасности по установке ActiveX для каждого пользователя, а также от того, был ли данный элемент управления перепакован с тем, чтобы позволить установку для отдельного пользователя.
В то время, как данная функция позволяет снизить общую стоимость владения, администраторы, использующие управляемые окружения, могут запретить данную функцию в групповых политиках. За дополнительной информацией относительно данной функции обращайтесь к статье Non-Admin ActiveX Controls в документации IE8 Beta 1 на MSDN.
ActiveX Opt-In
Учитывая, что любой бинарный механизм расширения увеличивает область для атаки, в Internet Explorer 7 была представлена функция ActiveX Opt-In. По умолчанию ActiveX Opt-In блокирует большинство элементов управления на пользовательском компьютере. Когда пользователь зайдет на сайт с заблокированным ActiveX-элементом, ему будет отображена информационная панель со следующим текстом: "Данный сайт хотел запустить следующее дополнение "ABC Control" от "XYZ Publisher". Если вы доверяете данному сайту, и дополнению и хотите его запустить нажмите здесь…". Дальше пользователь в этой панели сможет запустить данный элемент управления.
По умолчанию ActiveX Opt-In разрешает запуск некоторых элементов:
- Небольшой список общих элементов управления, предназначенных для работы в браузере
- Элементы управления, которые использовались в IE до обновления до IE8
- Элементы, установленные через IE.
За дополнительной информацией по ActiveX Opt-In обращайтесь к статье на MSDN Best Practices for ActiveX.
Per-Site ActiveX
Когда пользователь заходит на сайт, содержащий ActiveX, IE8 производит множество проверок, включая определение того, откуда данный элемент может запускаться. Данная функция известна как Per-Site ActiveX - защитный механизм, помогающий предотвратить перемещение на вредоносный элемент управления. Если определенный элемент управления установлен, но его запуск на определенном сайте не разрешен, появится информационная панель, которая спросит пользователя о необходимости запуска установленного элемента управления на данном сайте.
Данная информационная панель может быть использована для разрешения запуска данного элемента управления на определенном или на всех сайтах.
Администраторы, управляющие системами с установленным Internet Explorer 8, могут заранее настроить элементы управления и связанные с ними домены. Такие настройки лучше могут быть отрегулированы с помощью групповых политик.
За дополнительной информацией относительно Per-Site ActiveX обращайтесь к статье Per-Site ActiveX в MSDN документации по IE8 Beta 1.
Усиление Per-Site ActiveX с помощью технологии ATL SiteLock
Если ваш элемент управления ActiveX разработан с целью использования только на вашем сайте, то привязывание его именно к вашему домену усложнит другим сайтам использование его для вредоносных целей. За дополнительной информацией обращайтесь к статье Developing Safer ActiveX Controls Using the Sitelock Template.
Уменьшение риска эксплойтов с помощью DEP/NX, Killbits и обслуживания
Работая с вашими компьютерами и Windows, IE8 помогает уменьшить возможности использования вредоносных элементов управления с помощью Data Execution Prevention. За дополнительной информацией о том, как убедится, что ваш элемент управления ActiveX совместим с DEP/NX, а также информацией о том, как использовать дополнительные технологии безопасности, обращайтесь к статье Безопасность IE8: технология защиты памяти DEP (NX).
Если используется вредоносный элемент управления, то у IE есть пилюля - killbit, которая блокирует использование в браузере определенных ActiveX-элементов. Производители, которые знают об уязвимостях в своих ActiveX-элементах, должны связаться с Microsoft, чтобы добавить killbit в следующее обновление. За дополнительной информацией обращайтесь к статье KB240797 How to stop an ActiveX control from running in Internet Explorer.
Как и со стандартным ПО, важно держать элементы управления в актуальном состоянии, чтобы обеспечить совместимость с новыми системами и уменьшить риск взлома с помощью внедрения потоков безопасности. За дополнительной информации по обновлению ActiveX элементов смотрите статью Good Practices for ActiveX Updates.
Работа с пользователями с помощью Manage Add-Ons
В то время как большинство пользователей и не подозревают о влиянии внутренней политики относительно ActiveX элементов на них, они могут получить информацию об установленных в Internet Explorer элементах с помощью Manage Add-Ons. Важно, чтобы разработчики убеждались в том, что их элементы не только безопасны и производительны, но и открыты в предоставляемой ими информации.
В Manage Add-Ons элементы управления идентифицируются по имени, издателю, версии и Class ID. Учитывая это, мы поощряем разработчиков внедрять в свои релизы эти мета-данные.
За дополнительной информацией о том, как проверить, что ваш ActiveX элемент правильно передает информацию о себе, обращайтесь к статье Add-on Management Improvements in Internet Explorer 8 или статье на MSDN под названием Best Practices for ActiveX.