Вопросы безопасности при работе с браузером

Браузер представляет собой интерфейс между пользователем и Web и по мере необходимости отправляет информацию о пользователе, позволяя при этом настраивать параметры безопасности. В то же время браузер следит за тем, чтобы удаленным программам не предоставлялся несанкционированный доступ к компьютеру пользователя.

Запуск программы без четкого представления ее функциональных возможностей песет в себе риск нарушить систему безопасности. Первоиачальпо Web-браузер представлял собой отпосителыю простую программу. Сейчас же исходный код браузера содержит десятки тысяч строк, что увеличивает риск нарушения защиты. Годы, потраченные на изучение проблем безопасности, показали, что труднее всего обеспечить безопасность, если применяется сложное программное обеспечение. Браузер используется главньш образом для доступа к различным сайтам Web. При этом каждый сайт использует другой сложпый программный компонент (Web-cepвер), что также спижает безопасность.

Проблемы безопасности в браузере главным образом связаиы с доступом к дисковой памяти и к вычислительным ресурсам Компьютера. Хотя многие документы, загружаемые в компьютер пользователя, являются статическими документами, состоящими из текста и изображений, растет число документов, содержащих исполняемый код Java, Javascript, Visual Basic Script, Perl и т.д., а также Компоненты ActiveX. Ряд проблем, связанных с безопасностью, достаточно широко освещается в технической литературе и в популярных изданиях. Некоторые из этих проблем очепь серьезные, а за последние несколько лет были выявлены новые проблемы. Угрозы безопасности могут варьироваться от несанкционированного доступа к пользовательским файлам до более серьезных проблем, таких как незаконное использование вычислительных ресурсов Компьютера пользователя. Обновление версий Netscape Navigator и Internet Explore во многом связано с проблемами безопасности. Хотя пользователям не обязательно разрешать автоматическое выполнение кода на их Компьютерах, в ряде браузеров допустимы некоторые или все возможности выполнения загружаемого программного кода. Пользователь может изменить параметры поведения но умолчанию. Для более глубокого рассмотрения проблем безопасности в Web читателю можно посоветовать обратиться к другим книгам но данной проблеме [Ste98a, RGR97].

Если Компьютер пользователя не подключен к локальной сети и тем самым не связап с другими компьютерами, при загрузке программ из Internet опасности подвергаются лишь вычислительные и файловые ресурсы Компьютера пользователя. Если же пользовательский Компьютер подключен к локальной сети, а также имеются совместно используемые файловые или другие ресурсы, риску подвержены и другие Компьютеры. Даже нормальная работа Компьютера может быть парушепа в результате воздействия злоумышленников, осуществляющих атаку отказа от обслуживания. При этом атакуемый Компьютер использует все ресурсы процессора, дисковой подсистемы для взаимодействия с атакующей программой, ресурсов на обслуживание каких-либо других пользователей просто не остается. Кроме того, могут заниматься ресурсы процессора на компьютере пользователя, либо организовываться передача файлов по электронной иочте с пользовательского Компьютера.

Ниже мы кратко рассмотрим риски для системы безопасности, связанные с применением некоторых популярных в Web языков программирования.

Java. Java является одной из первых систем программирования, дающих возможность выполнения программ на компьютере пользователя в результате загрузки ресурса извне. Java относительно безопасна из-за принятого в Java принципа выполнения загруженных из Web программ в специальной среде, называемой «пе- сочпицей», используемой для ограничения доступа к ресурсам пользовательского компьютера. Аннлет Java представляет собой небольшое приложение, созданное для выполнения ограниченной задачи с ограниченным доступом к пользовательским ресурсам. Аннлетам Java, загружаемым пользовательским компьютером, обычно не разрешается осуществлять операции чтения или записи в локальной файловой системы. Подход с использованием интерпретируемого байт-кода в Java уменьшает возможность доступа к ресурсам компьютера. Однако несмотря на ограниченные возможности доступа аннлетов Java, исследования показали, что ненадлежащее использование протоколов Internet может привести к появлению брешей в системе безопасности. Хотя аннлет не способен удалить файл на компьютере пользователя, оп может инициировать атаку отказа от обслуживания, путем использования практически всех вычислительных ресурсов пользовательского ком- иыотера.

JavaScript. JavaScript гораздо npou^Java и используется в HTML-документах. Большинство браузеров могут выполнять сценарии JavaScript. Функции JavaScript синтаксически анализируются браузером, после чего инициируются определенные действия. Проблемы безопасности связаны со способностью JavaScript выполнять комаиды без ведома пользователя. Например, загруженный сценарий JavaScript может отправлять сообщения электронной почты. Пользовательские файлы являются доступными для сценариев, поэтому произвольное выполнение кода JavaScript, если только пользователь не уверен, что выполнеиие-сцепариев не несет опасности, является рискованным. Браузеры допускают настройку, в соответствии с которой выполнение сценариев JavaScript разрешается только для определенных приложений.

ActiveX. Элементы управления ActiveX схожи с аннлетами Java. Элементы ActiveX не используют «песочницу»; вместо этого они применяют механизм сертификатов. Сертификаты представляют собой заверенные свидетельства, удостоверяющие, что дапное программное обеспечение создано определенной организацией или разработчиком. Если сертифицированный элемент управления несет в себе риск нарушения системы безопасности, сертификат может быть отозван, а компания, создавшая данный элемент управления, может не получить сертификата в дальнейшем. Модель сертификации требует участия специальных доверенных организаций, осуществляющих выдачу сертификатов. Хорошо себя зарекомендовавший производитель программного обеспечения может, тем не менее, пепредумыш- ленно выпустить программное обеспечение, способствующее появлению брешей в системе безопасности. Подход с применением сертификатов может быть также использован для программ на Java и JavaScript.

Источник: Web-протоколы. Теория и практика. — M.: ЗАО «Издательство БИНОМ», 2002 г. – 592 c.: ил.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100