WWW w Oknach

Bezpieczeństwo jest w Sieci sprawą dużej wagi. Mimo to wielu użytkowników nie potrafi zapewnić go sobie w sposób dostateczny, choćby instalując i poprawnie konfigurując tzw. zaporę ogniową. Producenci oprogramowania próbują więc często robić to za nich. Zwiększanie bezpieczeństwa systemu operacyjnego (patrz: $(LC111678: Włamywacze – precz!)$) i aplikacji na nim działających odbywa się najczęściej poprzez instalowanie uaktualnień i łatek na system, dostarczanych przez producenta. W przypadku systemów operacyjnych z rodziny Windows Microsoft regularnie wydaje tzw. Service Packi. Druga edycja tego uaktualnienia dla Windows XP zmienia domyślne ustawienia IE i OE na bardziej bezpieczne i wprowadza blokady tam, gdzie ich wcześniej nie było. Zawiera również kilka dodatków pozwalających w łatwy i szybki sposób zmodyfikować te opcje dla otwieranych w przeglądarce pojedynczych lub też wszystkich stron internetowych (czy wiadomości pocztowych HTML).

Kontrola nad ActiveX

Jeśli nasza witryna internetowa wykorzystuje kontrolki ActiveX, musimy pamiętać o tym, że Internet Explorer z SP2 może je zablokować. Stanie się tak, gdy zastosujemy w naszej witrynie odesłanie do innej strony, która będzie usiłowała wywołać kontrolkę ActiveX. Blokowany będzie także taki kod, którego rezultatem jest natychmiastowa instalacja tejże kontrolki. Uaktualnienie zainstalowanego w systemie komponentu ActiveX może odbyć się tylko wtedy, gdy spełnione są warunki: wglobalny unikatowy identyfikator (ang. globally unique identifier – GUID) jest taki sam jak GUID istniejącego kodu, wuaktualniane i zainstalowane kontrolki są podpisane z użyciem Microsoft Authenticode z certyfikatem dostarczonym przez tego samego wystawcę i wydanym do tego samego obiektu.

Internet Explorer blokuje także instalację wszelkich kontrolek, które nie są podpisane. Sygnatury muszą być oczywiście aktualne i znajdować się w odpowiednich plikach CAB (CABinet file) lub DLL (Dynamic Link Library). Można jednak zezwolić na uruchamianie takich kontrolek, zmieniając ustawienia IE w menu

Narzędzia | Opcje internetowe.

Na karcie Zabezpieczenia wybieramy Poziom niestandardowy i ustawiamy Pobieranie niepodpisanych formatów ActiveX na Włącz .

Gdy użytkownik będzie chciał wydrukować stronę z kontrolkami ActiveX, które zostały zablokowane przez Windows XP z Service Packiem 2, to nie uda mu się to. Domyślne ustawienie mechanizmu Local Machine Zone Lockdown blokuje drukowanie takich stron, w podglądzie wydruku pojawia się jednak informacja, że została zablokowana kontrolka ActiveX. Jedyną możliwością wydrukowania tego rodzaju witryny jest wyłączenie przez użytkownika w Rejestrze Local Machine Zone Lockdown .

Podpisuj pliki

Jeśli odwiedzającym naszą witrynę internetową umożliwiamy pobieranie z niej plików, musimy zwracać uwagę na kilka detali. Pierwszy to kopiowanie zbiorów na komputer, zainicjowane przez kod na stronie WWW, bez udziału użytkownika. Zmiany w SP2 spowodują, że akcja taka zostanie domyślnie zablokowana. Dodatkowo pliki wykonywalne powinny być podpisane, ponieważ podczas downloadu sprawdzane są informacje dotyczące publikującego. Wyświetlane będą one użytkownikowi, który może w takiej sytuacji bardziej świadomie podjąć decyzję o ewentualnym pobraniu i uruchomieniu zbioru.

Druga sprawa, na którą należy zwrócić uwagę, to pliki, których typ nie odpowiada opisowi ich zawartości Content-Type (Typ pliku) i/lub rozszerzeniu. Takie niezgodności muszą zostać usunięte. Jeśli na przykład typ jednego ze zbiorów w witrynie będzie oznaczony plain/text, taki plik nie zostanie wyświetlony jako HTML.

Ostatnią kwestią, o której należy pamiętać, jest to, czy używamy obrazków w formularzach pobierania plików. Gdy wymagane jest kliknięcie stosownego przycisku, aby zainicjować download – grafikę komponentów należy uaktualnić (Download dialog UI) ręcznie w kodzie HTML.

Informacja o tym, że pobieranie pliku zostało zablokowane, pojawia się użytkownikowi na Pasku informacji (Information Bar). Kliknięcie go spowoduje wyświetlenie menu, w którym mamy do wyboru dwie opcje:

Download Software
What’s the Risk?

Pierwsza, jak łatwo się domyślić, umożliwi pobranie pliku, druga spowoduje wyświetlenie informacji dotyczących pochodzenia zbioru i związanego z tym ryzyka.

Więcej:bezcatnews