Безопасность активного содержимого
Управление исходными файлами
Для предотвращения случайного изменения файлов веб-разработчиками необходимо контролировать исходные файлы. Например, если файл вставки удален или перемещен без страниц, которые обновлялись с использованием этого файла, то при доступе к этим страницам возникнет ошибка, и откроется доступ к информации о системе.
Контролируя доступ на запись веб-содержимого, управление исходными файлами исключает единовременное редактирование одного и того же файла двумя пользователями, а также удаление и перемещение файлов без связанных с ними обновляющихся файлов. Это важно, когда команда разработчиков работает над одним и тем же приложением, так как в любой момент времени используется самая последняя версия файла. Программа контроля изменений упрощает обновление файлов, автоматизирует утомительный, но обязательный процесс включения и выключения атрибута "только для чтения" вручную.
Программное обеспечение для контроля над исходными файлами
В программах контроля над исходными файлами используется система приписки и отписки файлов, аналогичная системе выдачи и приема книг в библиотеке. Если файл занят пользователем, то его больше никто не может использовать или редактировать, пока он не будет освобожден. Если файл не приписан для редактирования, его никто не сможет изменить. В параметрах веб-приложения обеспечьте сохранение всех файлов на сервере разработки. Тогда пользователь сможет загружать нужный файл на свой компьютер, редактировать и тестировать его, после чего отгружать обратно на сервер. После одобрения внесенных изменений отредактированный файл можно отгружать на работающий сервер.
Программное обеспечение, предназначенное для контроля над исходными файлами, можно интегрировать с IIS, если установлены серверные расширения FrontPage Server Extensions (FPSE). FPSE представляет собой набор программ и сценариев, поддерживающих разработку в FrontPage (популярный редактор веб-страниц от Microsoft) и расширяющих функциональные возможности IIS. Для установки FPSE прочтите раздел "Серверные расширения FrontPage" далее в этой лекции. Не рекомендуется устанавливать FPSE на веб-серверах.
Если расширения FPSE установлены, включите контроль версий файлов.
- Откройте консоль Internet Services Manager (Диспетчер служб интернета) и в дереве консоли щелкните правой кнопкой мыши на веб-объекте, для которого включается контроль исходных файлов.
- Во всплывающем меню выберите Properties (Свойства), после чего откройте вкладку Server Extensions (Серверные расширения) (см. рис. 11.5).
- Отметьте опцию Enable Authoring (Включить разработку) и в поле Version Control (Контроль версий) выберите Use External (Использовать внешнюю программу) при наличии программы контроля над исходными файлами (например, Visual SourceSafe) или Use Built-In (Использовать встроенную программу) для использования базового контроля FrontPage.
Программа Visual SourceSafe (см. рис. 11.6) представляет собой приложение уровня предприятия для контроля над изменением исходных файлов; она дополнительно обеспечивает отслеживание версий и функции отката. Для получения информации об интеграции Visual SourceSafe с программой FrontPage обратитесь к разделу "Контроль исходных файлов серверных расширений" в Microsoft FrontPage Server Extensions Resource Kit.
Рис. 11.6. Программа Microsoft Visual SourceSafe сохраняет файлы проектов в базе данных, позволяя открывать старые версии изменяемых файлов
FrontPage предоставляет два метода контроля над исходными файлами: встроенную упрощенную функцию контроля и интеграцию с внешней программой, совместимой с FrontPage (например, Visual SourceSafe). Упрощенный контроль над исходными файлами обеспечивает меры по контролю над пользователями, управляющими страницами веб-сайта с функциями приписки и отписки. Перед использованием этого компонента FrontPage на IIS необходимо установить FPSE.
Резервные копии
В зависимости от используемого средства разработки проверьте, не засорена ли система файлами .bak. Такие средства, как Microsoft Visual InterDev и Allaire HomeSite, создают резервные копии содержимого в автоматическом режиме. Если разработчикам разрешено сохранение работы непосредственно на сервере (настоятельно не рекомендуется), резервные файлы с расширением .bak также будут сохраняться на сервере. Любой пользователь, открывший один из .bak-файлов, сможет прочесть весь текст сценария и просмотреть исходный код, так как IIS не будет обрабатывать страницу, и теги сценариев останутся нетронутыми. Поэтому убедитесь, что .bak-файлы удаляются каждый раз при завершении обновления файлов разработчиками, и свяжите их с машиной сценариев, чтобы обеспечить выполнение страниц и отправку клиенту только результатов этой работы.
Защита авторских прав
Иногда в интернете попадаются сайты с предупреждениями о том, что копирование содержимого сайта запрещено. Часто для защиты авторских прав используются скрываемые панели инструментов веб-браузера и панели инструментов перехода, а также сценарии JavaScript, отключающие всплывающие меню. Тем не менее, для опытных пользователей эти методы защиты авторских прав являются не только раздражающими, но и легко преодолимыми при помощи целого ряда способов.
Совет. Если вы добавляете в свой код уведомление об авторских правах, то в любом судебном процессе это облегчит доказательство того, что результат вашего труда был скопирован нелегально. Для получения дополнительной информации обратитесь к разделу "Кодировщик сценариев" далее в этой лекции.
Следует всегда добавлять строку уведомления об авторских правах внизу каждой веб-страницы. Например, "© 2002, ваше_имя/компания. Все права защищены". Эту строку можно добавить, выбрав опцию Enable Document Footer (Включить нижний колонтитул документа) на вкладке Documents (Документы) окна Properties (Свойства) веб-сайта (см. рис. 11.7). IIS будет автоматически прилагать нижний колонтитул ко всем отправляемым страницам, хотя это несколько снизит производительность.
Рис. 11.7. Введите полный путь к файлу нижнего колонтитула или нажмите на кнопку Browse (Обзор) и найдите его в дереве каталогов
Совет. Следует регистрировать авторские права для имен доменов, связанных с сайтом; зарегистрировать сайт целиком можно в офисе авторских прав США по адресу http://lcweb.loc.gov/copyright/.