Настройка безопасности в Internet Explorer 7

В новом Internet Explorer 7 большое внимание уделено повышению безопасности работы пользователя в сети. Это достигается тем, что IE7 может работать в защищенном режиме (Protected Mode). Также в новую версию браузера встроен антифишинг-фильтр (Phishing Filter).

Для защищенной передачи данных в IE7 можно использовать улучшенный алгоритм шифрования 256-битным ключом.
В общих чертах эти новшества широко освещены в прессе. Мы же расскажем здесь о тонкой настройке новых опций безопасности в IE7.

Новые настройки процесса аутоинтефикации
Как известно, HTTP поддерживает разные методы аутентификации. Простейший из них называется базовой аутентификацией.
Базовый метод включает в себя запрос имени пользователя и пароля, которые передаются на сервер в зашифрованном виде. При этом шифрование осуществляется на основе 64-битного ключа. Данный шифр является ненадежным и его легко можно взломать.
В качестве примера можно привести процедуру дешифровки имени пользователя и пароля, зашифрованных методом базовой аутентификации с помощью программы Fiddler (http://www.fiddlertool.com/fiddler).

Пусть, к примеру, пользователь авторизовался методом базовой аутентификации. Тогда Fiddler выдаст следующие данные:

GET / HTTP/1.1

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2)

Host: www.example.com

Authorization: Basic RXJpYzpUb3BTZWNyZXQ=

Для декодирования имени пользователя и пароля нужно в меню программы Fiddler выбрать пункты Tools > Text Encode/Decode и мы увидим раскодированные имя пользователя и пароль (в данном примере username:Eric,Password:TopSecret).

В IE7 метод базовой аутентификации сохранен для обеспечения совместимости, но при авторизации с использованием этого метода, выводится следующее предупреждение:

Внимание: Данный сервер запросил ваши имя и пароль, передача которых будет осуществлена небезопасным образом (для шифрования будет использован метод базовой аутентификации без использования защищенного соединения)

Для того чтобы предотвратить базовую аутентификацию при передаче данных по защищенным каналам (SSL/TLS) при использовании IE7, нужно внести в реестр следующие изменения:
создать параметр DisableBasicOverClearChannel типа DWORD в ключе реестра HKEY_CURRENT_USER\\\SOFTWARE\\\Microsoft\\\Windows\\\CurrentVersion\\\Internet Settings\\\ и присвоить этому параметру ненулевое значение.
После этих изменений, браузер IE7 будет использовать базовый метод аутентификации только в том случае, если это единственный метод подключения к серверу. Если же связь с сервером возможна также на основе защищенного соединения, то браузер выберет его.

Новый механизм блокирования скриптов с использованием зон безопасности
В IE7 реализована новая логика при группировании веб-узлов по зонам безопасности.
Как известно, IE6 и более ранние версии этого браузера при обнаружении тега SCRIPT с параметром SRC выполняют скрипт, на который дана ссылка, так, как будто бы он включен в текст данной страницы. Эта особенность не позволяет пользователю заблокировать нежелательные скрипты, включенные в контекст страницы через комбинацию SCRIPT – SRC.

Рассмотрим пример. Предположим, мы загрузили страницу http://good.example.com, содержащую следующий код:

<html>

<body>

<script src='http://good.example.com/useful.js'></script>

This page is running on good.example.com. It has very valuable content that lots of folks want to see.

<script src='http://evil.example.com/annoy.js'></script>

</body>

</html>



Теперь предположим, что http://evil.example.com/annoy.js содержит такой код:



for (var x=0; x<100000; x++){

alert('Annoy annoy annoy'); // Make the user mad.

}

ake the user mad.
}[/code]

Понятно, что, зайдя на страницу http://good.example.com, мы увидим 100000 сообщений Annoy annoy annoy, т.к. будет выполнен скрипт, находящийся на совсем другом веб-узле.
В предыдущих версиях IE бороться с подобным явлением можно было только одним способом: нужно было внести сайт http://good.example.com в зону ограниченных узлов. После этого при открытии данного веб-узла, IE блокировал все скрипы этого ресурса. К сожалению, блокировались не только нежелательные скрипты, типа annoy.js, но и те, которые безопасны и требуются для корректной работы сайта (в рассмотренном случае - скрипт useful.js).
В IE7 включен анализатор не только текста кода страницы, но и источников скриптов.
Теперь, если внести какой-либо веб-ресурс в зону ограниченных узлов, это обеспечит блокирование скриптов с этого ресурса не только при открытии его страниц, но и в тегах SCRIPT – SRC, ссылающихся на скрипты с этого ресурса.
Проще говоря, в рассмотренном выше примере будет заблокирован только скрипт annoy.js, а скрипт useful.js будет выполнен. Для этого достаточно внести сайт http://evil.example.com в список ограниченных узлов.

Источник: http://blogs.msdn.com/
Перевод: iLizar