Замечание об элементе управления, предназначенного для редактирования DHTML в IE7+

Привет, меня зовут Б. Эшлок, я менеджер продуктов средств веб-разработки – у нас есть блог нашей команды, но я хочу отдельно остановится на некоторых изменениях, которые затронут пользователей IE7+ в Windows Vista...

В сособенности на том, что мы удалили элемент управления, позволяющий редактировать DHTML, из Windows Vista.

Этот элемент управления встроен в Windows XP и Windows 2003 Server, и располагается в файле dhtmled.ocx. Этот файл содержит две ветви:

1. Элемент управления, предназначенный для редактирования DHTML (безопасность для создания сценариев). Эта версия элемента управления помечена как "безопасность для создания сценариев", и может использоваться для предоставления возможности визуального редактирования HTML-содержимого во время просмотра веб-узлов в обозревателе Internet Explorer. GUID компонента для этой ветви элемента управления: 2D360201-FFF5-11d1-8D03-00A0C959BC0A.

2. Элемент управления, предназначенный для редактирования DHTML (для приложений). Эта версия элемента управления имеет меньше ограничений и обычно используется внутри приложений Windows для предоставления возможности редактирования HTML-содержимого. Например, в приложениях C++ или Visual Basic, которые поддерживают этот компонент для предоставления возможности визуального редактирования HTML. GUID компонента для этой ветви элемента управления: 2D360200-FFF5-11d1-8D03-00A0C959BC0A

В Windows Vista мы решили удалить обе эти ветви, чтобы сократить поверхность для возможных атак. В прошлом, это элемент управления часто подвергался атакам, из-за сценариев перекрестных сайтов (которые должны были исправлять ошибки). После анализирования процента реального использования во всем мире, мы решили удалить эти две ветви элемента управления, чтобы обеспечить большую безопасность IE7+ в Windows Vista. В ближайшем будущем, мы также уберем ветвь элемента управления "безопасность для создания сценариев" из IE7 для Windows XP.

Мы хотим обратить на это внимание тех, кто может использовать любую ветвь этого элемента управления, чтобы дать время для внесения необходимых изменений до выхода Windows Vista. Мы абсолютно уверены, что использование этого элемента во всем мире не так велико, однако вы можете использовать его в трех случаях:

1. Используя Outlook Web Access (OWA) из IE7+ в Windows Vista, и обращаетесь к серверу Exchange 2000 или Exchange 2003, которые не имеют всех последних обновлений. Если ваш обменный сервер имеет последние критические обновления, то он больше не использует элемент управления для редактирования DHTML, и вы не столкнетесь с проблемами, касающимися OWA в Windows Vista. Однако, если ваш обменный сервер не обновлен, есть вероятность, что вы не сможете создать новые почтовые сообщения в Outlook Web Access через IE7+ в Windows Vista (бета-версия 2). Чтобы решить эту проблему, вы должны обратиться к системному администратору с просьбой установить критическое обновление http://support.microsoft.com/kb/911829 - оно удаляет необходимость OWA в элементе управления для редактирования DHTML. После обновления электорнная почта будет прекрасно работать у клиентов Windows Vista.

2. Работая с веб-узлом, который использует ветвь "безопасность для создания сценариев" элемента управления для редактирования DHTML из IE7+ в Windows Vista. Во время поиска веб-узлов, использующих этот элемент управления мы их почти не обнаружили. Однако, мы не можем проверить все узлы в Интернете, и возможно, некоторые корпоративные веб-узлы используют элемент управления редактирования DHTML. Если это так, мы рекомендуем перейти на другую подобную технологию, которая использует встроенное редактирвоание в Internet Explorer 6 или более поздних версиях. Таких компонентов несколько, например: http://freetextbox.com/default.aspx

3. Последний возможный случай - использование приложений Windows, частично основанных на элементе управления для редактирования DHTML (для приложений). После выхода RC1 наша команда выпустит отдельно устанавливающийся элемент управления, для обеспечения совместимости с приложениями, использующими его. Возможно будет установить только ветвь "для приложений", а ветвь "бьезопасность для создания сценариев" не будет включена. Мы делаем это из соображений безопасности IE7+ в Windows Vista от потенциальных атак, а ветвь "для приложений" не будет загружаться в обозреватель.

До выпуска Windows Vista RC1 мы планируем выпустить доклад, в котором будет более подробно описаны детали, касающиеся удаления этого элемента управления из Windows Vista, и который пояснит, как можно осуществить некоторые из изменений, описанных выше.

Суммировав все ЗА и ПРОТИВ мы решили, что вырезать элемент управления для редактирования DHTML из Windows Vista будет выгоднее, с точки зрения безопасности. Я всегда поощрял людей задавать вопросы, и обеспечу обратную связь, так как мы можем получить большое количество отзывов или комментариев от людей, нуждающихся в дополнительной информации об изменениях. Вы можете написать прямо мне на bash-собака-microsoft.com, если у вас есть какие-либо вопросы.

Источник: http://blogs.msdn.com/ie/
Перевод: Glasten