Компания IBM
Опубликован: 04.07.2008 | Доступ: свободный | Студентов: 456 / 58 | Оценка: 4.48 / 3.95 | Длительность: 13:58:00
Лекция 7:

Безопасность Domino Web Access

7.4 Управление кешем браузера

Теперь, когда мы объяснили, что происходит, когда пользователь входит в Domino Web Access, давайте рассмотрим, что происходит, когда пользователь выходит из Domino Web Access, в частности расскажем, что можно сделать, чтобы выход из Domino Web Access не создавал уязвимостей.

В предыдущей книге, "Lotus Security Handbook", SG24-7017, мы рассказывали, что функция выхода посылает серверу команду logout для прекращения сеанса, если используется сеансовая аутентификация. Если применяется базовая аутентификация, идентификационная информация входа в систему удаляется из Web-браузера. Также Domino Web Access закрывает окно браузера, чтобы другой пользователь не мог нажать кнопку "Назад" и увидеть предыдущую страницу, которая может содержать важную персональную информацию. Кроме того, Domino Web Access выполняет сложное взаимодействие с алгоритмом кеширования, не давая сохранить в локальном кеше браузера информацию в таком виде, чтобы его мог прочитать кто угодно.

Тем не менее нами было замечено, что функция обеспечения безопасности не очищает локальный кеш браузера. Единственной возможностью обеспечить недоступность информации в кеше для третьих лиц является либо самостоятельная очистка пользователем кеша (этого большинство пользователей не делает, даже если им часто напоминать), либо конфигурирование браузера таким образом, чтобы он не выполнял локальное сохранение информации (т. е. не создавал временных интернет-файлов) после завершения сеанса (а это редко можно сделать на компьютере в интернет-кафе).

Данная проблема ушла в прошлое. С появлением Domino Web Access в Domino 7 при выходе пользователя из системы Domino Web Access наряду с закрытием окна браузера и удалением идентификационных данных пользователя теперь удаляет личные данные из кеша браузера. Делается даже больше, чем кажется на первый взгляд: в Domino 7 при инсталлированной системе управления кешем браузера (Browser Cache Management), даже если пользователь не выполняет явного выхода из системы, очистка производится после закрытия последнего окна браузера. Удаляя эти данные, Domino Web Access не дает не прошедшему авторизацию пользователю применять информацию в кеше для доступа к почтовому файлу пользователя.

В Microsoft Internet Explorer вы можете использовать Browser Cache Management для повышения производительности работы клиента и улучшения безопасности сеансов Domino Web Access путем контроля над тем, какие данные сохраняются в кеше и какие удаляются по завершении сеанса. Удаление личных данных из кеша браузера и более безопасные функции очистки данных доступны только в том случае, если пользователь разрешает такой контроль со стороны Domino Web Access.

Не все компьютеры одинаковы, и не всегда у пользователей имеется доступ к высокопроизводительной рабочей станции или к сети с высокой пропускной способностью. Поэтому, несмотря на похвальность намерения организации ограничить сохранение файлов в кеше браузера для обеспечения безопасности, может возникнуть проблема, связанная с необходимостью загружать элементы дизайна Domino Web Access для каждого сеанса, а это плохо влияет на производительность и заставляет пользователя ждать, прежде чем он сможет полностью применить возможности Domino Web Access. Чтобы решить данную проблему, вы можете, например, оставить элементы дизайна Domino Web Access в кеше для увеличения производительности, но удалить все, что было получено из почтовых баз данных для повышения безопасности. Администраторы Domino могут задать уровень очистки кеша, удаляя все элементы кеша или только те, которые относятся к почтовой базе пользователя.

Настройка Browser Cache Management

Управление кешем браузера можно настроить в документе Configuration Settings (Параметры конфигурации) сервера Domino Web Access. На рис. 7.12 показаны параметры на закладке Domino Web Access.

Обратите внимание на раздел Browser Cache Management (Управление кешем браузера), который содержит несколько параметров. Мы опишем эти параметры после рис. 7.12.

Документ Configuration Settings (Параметры конфигурации) сервера Domino Web Access

увеличить изображение
Рис. 7.12. Документ Configuration Settings (Параметры конфигурации) сервера Domino Web Access

Раздел Browser Cache Management (Управление кешем браузера) содержит следующие параметры:

  • Browser Cache Management: Enabled | Disabled (Управление кешем браузера: включено | отключено). Вы можете включать и отключать управление кешем браузера для всех клиентов Domino Web Access. Этот параметр нельзя применять отдельно к каждому пользователю, он применяется сразу ко всем.
  • Automatically install Browser Cache Management: Enabled | Disabled (Автоматически инсталлировать Browser Cache Management: включено | отключено). Вы можете включать и отключать возможность автоматической инсталляции Browser Cache Management для всех клиентов Domino Web Access. Этот параметр также нельзя применять отдельно к каждому пользователю, он применяется сразу ко всем.
  • Уровень очистки кеша по умолчанию: 0 | 1 | 2 | 3 | 4 | 5 (0 = минимальная безопасность, 5 = максимальная безопасность). Это поле позволяет задать уровень автоматической очистки кеша для сервера Domino Web Access. В табл. 7.1 приводятся описания различных уровней очистки.
Таблица 7.1. Уровни очистки
Уровень Описание
0 Этот уровень задан по умолчанию, и он обеспечивает максимальную производительность Domino Web Access. На этом уровне Browser Cache Management удаляет все URL, которые начинаются с пути к почтовому файлу, за исключением тех, которым по стратегическим соображениям присвоен аргумент KeepInCache (&KIC). Этот аргумент помечает элементы, содержащие главным образом элементы дизайна. Хранение этих элементов в кеше обеспечивает существенный прирост производительности при следующем запуске Domino Web Access. Из кеша удаляются такие файлы, как части MIME-сообщения, получаемые по отдельному URL, или вложения, которые открываются не под контролем Domino Web Access
1 На этом уровне Browser Cache Management удаляет все URL, которые начинаются с пути к почтовому файлу. Это лучший компромисс между производительностью и безопасностью Domino Web Access. Этот уровень не влияет на кеширование, используемое другими Domino- и Web-приложениями, а также не влияет на кеширование страниц на том же сервере Domino или на других серверах. Из кеша удаляются (наряду с теми, которые удаляются на уровне 0) такие файлы, как:
  • Большинство списочных и календарных HTML-представлений верхнего уровня.
  • Страница JavaScript \text{\texttrademark} s_SessionInfo, которая содержит данные о различных настройках и важных конфигурационных параметрах Domino Web Access. Сюда относятся различные варианты имени текущего пользователя (общее имя, сокращенное каноническое имя, полное каноническое имя).
  • Страница JavaScript h_TOC, которая содержит информацию о функциональных областях, доступных для текущего пользователя, и информацию о первоначальном URL.
  • Страница s_Outline, содержащая информацию об именах папок
2 На этом уровне Browser Cache Management удаляет из кеша все URL, которые являются производными от имени хоста, за исключением тех, которые содержат путь к текущему файлу форм /iNotes/Forms7.nsf (или /iNotes/Forms6.nsf). Этот уровень обеспечивает наилучший компромисс между производительностью и безопасностью, когда пользователь может обращаться к другим страницам в базе данных Domino на одном и том же сервере или может обращаться к Domino Web Access и другим сайтам интранета с обратными (reverse) прокси-серверами, которые можно записывать в кеш (например, ссылки на сайты через QuickLinks на странице приветствия или ссылки на документы в полученных письмах). Если доступ к страницам осуществляется через инвертированный прокси, то сервер ссылается на инвертированный прокси-сервер. Это не влияет на производительность других Web-сайтов, которые пользователь будет посещать после выхода из системы. Из кеша удаляются (наряду с теми, которые удаляются на уровнях 0 и 1) такие файлы, как:
  • страницы, сгенерированные любым другим Web-приложением Notes и не Notes на сервере;
  • в ситуации с инвертированным прокси страницы, сгенерированные любым другим Web-приложением Notes и не Notes на том же сервере или на любом другом сервере, доступных через инвертированный прокси-сервер;
  • значки представлений Domino
3 На этом уровне Browser Cache Management удаляет из кеша все URL, которые являются производными от имени хоста. Это дает повышенную безопасность, но отрицательно влияет на производительность последующих входов в Domino Web Access, поскольку удаляются все кешированные статические скриптовые и изобразительные элементы. Это не влияет на Web-приложения и страницы, сгенерированные другими серверами, а также не влияет на производительность работы с другими Web-сайтами, которые вы будете посещать после выхода из системы. Из кеша удаляются (наряду с теми, которые удаляются на уровнях 0–2) URL к /iNotes/Forms6.nsf и статические кодовые страницы, изображения и таблицы стилей Domino Web Access
4 На этом уровне (который является безопасным вариантом) Browser Cache Management удаляет из кеша все URL, за исключением URL, содержащих путь к текущему файлу форм/iNotes/Forms7.nsf (или /iNotes/Forms6.nsf). Этот уровень обеспечивает наилучший компромисс между производительностью и безопасностью для Domino Web Access, но может отрицательно повлиять на производительность работы других Web-приложений или страниц, которые пользователь, возможно, применит. Из кеша удаляются (наряду с теми, которые удаляются на уровнях 0–3) все внешние Web-страницы, загруженные через страницу приветствия Domino Web Access или переданные при помощи Domino Web Access или любой другой экземпляр браузера
5 На этом уровне (который является самым безопасным вариантом) Browser Cache Management удаляет из кеша все URL. Это обеспечивает наибольшую безопасность, но сильнее всего влияет на производительность последующих входов в Domino Web Access, поскольку удаляются все кешированные статические скриптовые и изобразительные элементы. Из кеша удаляются (наряду с удаляемыми на всех прочих уровнях) URL, содержащие путь к текущему файлу форм /iNotes/Forms7.nsf (или /iNotes/Forms6.nsf), а также статические кодовые страницы, изображения и таблицы стилей Domino Web Access
  • Clear history when browser window is closed: Enabled | Disabled (Очистить историю при закрытии окна браузера: включено | отключено). Вы можете включать и отключать очистку истории браузера при закрытии окна. Это предотвращает доступ к ранее отображенным страницам.
  • Disallow attachments if not installed: Enabled | Disabled (Запретить вложения, если не инсталлирован: включено | отключено). Вы можете включать или отключать запрет вложений, если Browser Cache Management не инсталлирован.
  • Maintain static code archive between browser sessions: Enabled | Disabled (Сохранять архив статического кода между сеансами браузера: включено | отключено). Вы можете включать и отключать возможность перемещать статические элементы дизайна Domino Web Access из кеша в локальную папку. При следующем запуске браузера элементы дизайна снова оказываются в кеше браузера.