Опубликован: 04.07.2012 | Уровень: специалист | Доступ: платный
Самостоятельная работа 8:

Технологии безопасности в IE9

< Лекция 16 || Самостоятельная работа 8: 12
Аннотация: Цель работы: практическое знакомство с новыми инструментами обеспечения безопасной работы в IE 9.

Теоретический материал

Режимы InPrivate

Наличие данного режима в веб-браузере Internet Explorer 9 (IE9) по достоинству смогут оценить те, кому приходится работать на чужом компьютере, поскольку новый режим просмотра InPrivate:

  • Не сохраняет новые cookie файлы;
    • Все новые cookie файлы сохраняются только до закрытия окна;
    • Ранее созданные cookie файлы остаются доступными;
  • DOM Storage работает по такому же принципу, как и cookie;
  • Просмотренные сайты не будут запоминаться в историю посещений;
  • Временные файлы будут удаляться после закрытия окна;
  • Данные форм не сохраняются;
  • Пароли не сохраняются;
  • Адреса, введенные в строку адреса, не сохраняются;
  • Запросы, введенные в поле поиска, не сохраняются;
  • Посещенные ссылки не сохраняются.

Кроме того, IE9 позволяет пользователю удалять журнала браузера, а специальный InPrivate фильтр информирует его о страницах, которые могут просматривать историю посещений пользователей, и позволяет блокировать такую возможность.

Рассмотрим данные функции более детально.

Режим просмотра InPrivate

По-сути, режим просмотра InPrivate предотвращает сохранение данных о сеансах просмотра веб-браузером IE. Это помогает предотвращать получение посторонними пользователями компьютера информации о посещенных страницах и просмотренном содержимом. При запуске функции просмотра InPrivate IE открывает новое окно. Защита, обеспечиваемая режимом просмотра InPrivate, применяется только во время использования этого окна. В этом окне можно открывать любое количество вкладок, и все они будут защищены с помощью режима просмотра InPrivate. Однако при открытии другого окна браузера оно уже не будет защищено с помощью данного режима. Для завершения сеанса просмотра в режиме InPrivate, необходимо просто закрыть окно браузера.

В таблице ниже приводится более подробное описание действия режима просмотра InPrivate.

Сведения Изменение в режиме просмотра InPrivate
Файлы Cookie Сохраняются в памяти для обеспечения правильного отображения веб-страниц, но удаляются при закрытии окна веб-обозревателя.
Временные файлы Интернет Сохраняются на диске для обеспечения правильного отображения веб-страниц, но удаляются при завершении работы веб-обозревателя.
Журнал посещений веб-страниц Информация не сохраняется.
Данные форм и пароли Информация не сохраняется.
Кэш средства антифишинга Временная информация шифруется и сохраняется для обеспечения правильного отображения веб-страниц.
Адресная строка и функция автозаполнения при поиске Информация не сохраняется.
Автоматическое восстановление после сбоев (ACR) Функция ACR обеспечивает восстановление при сбоях на вкладке в течение сеанса, однако в случае ошибок в работе всего окна данные удаляются и окно восстановить невозможно.
Хранилище моделей объектов документов (DOM) Хранилище DOM подобно "огромному файлу Cookie", который веб-разработчики могут использовать для хранения информации. Как и обычные файлы Cookie, они не сохраняются после закрытия окна веб-обозревателя.

Фильтр SmartScreen

Фильтр SmartScreen - один из инструментов веб-браузера IE, позволяющий обнаруживать поддельные веб-узлы. Он также обеспечивает защиту от установки вредоносного программного обеспечения.

Защита обеспечивается тремя следующими способами:

  • Фильтр SmartScreen работает в фоновом режиме при просмотре веб-страниц, анализируя их и определяя, содержат ли они характеристики, которые могут быть подозрительными. При обнаружении подозрительных веб-страниц фильтр SmartScreen отобразит сообщение, обеспечивающее возможность предоставления отзыва и рекомендующее продолжать работу с осторожностью.
  • Фильтр SmartScreen проверяет, содержатся ли посещаемые узлы в постоянно обновляемом списке обнаруженных поддельных узлов и узлов, распространяющих вредоносное программное обеспечение. При нахождении соответствия фильтр SmartScreen отобразит окно предупреждения красного цвета, уведомляющее о том, что узел блокирован для обеспечения безопасности.
  • Фильтр SmartScreen также проверяет, содержатся ли файлы, загруженные из Интернета, в аналогичном динамически обновляемом списке обнаруженных узлов, распространяющих вредоносное программное обеспечение. При нахождении соответствия фильтр SmartScreen отобразит окно предупреждения красного цвета, уведомляющее о том, что загруженный объект блокирован для обеспечения безопасности.

Фильтр межузловых сценариев (XSS)

Фильтр межузловых сценариев (XSS) в Internet Explorer помогает предотвратить добавление одним веб-узлом кода сценария на другой веб-узел. Фильтр XSS наблюдает за взаимодействием веб-узлов и при определении возможной атаки автоматически блокирует запуск кода сценария. В подобных случаях на панели информации будет отображено сообщение, позволяющее узнать об изменении веб-страницы, чтобы защитить конфиденциальность и обеспечить безопасность.

Общая защита

В IE9 поддерживаются также следующие технологии защиты:

  • поддержка кросс-документного обмена сообщениями HTML5 (HTML5 cross-document messaging);
  • новый объект XDomainRequest для передачи данных через домены;
  • новая функция toStaticHTML, которая позволит избежать внедрения опасного кода на страницы путем форматирования html-тегов;
  • IE 9 реализует функции ECMAScript 3.1 для работы с JSON. Для обеспечения безопасности, объект для работы с JSON содержит функцию parse, которая так же как и toStaticHTML надежно форматирует потенциально-опасный текст;
  • браузер содержит улучшения в механизме MIME-sniffing, который позволяет определять браузеру содержимое страницы не по значению поля заголовка ответа сервера "content-type", а по содержанию. Теперь, например, при "content-type: image/*" браузер не будет обрабатывать вложенный html- или скрипт-код. При этом для управления фильтром разработчик может воспользоваться новым параметром authoritative и указать "Content-Type: text/plain; authoritative=true;", - в этом случае IE9 не будет пытаться определить тип содержимого, интерпретируя его согласно указанию в поле "Content-Type";
  • новые параметры для HTTP-заголовков X-Download-Options: noopen и Content-Disposition: attachment; filename=untrustedfile.html указывают браузеру, что он должен сохранить полученное от сервера содержимое вместо того, чтобы его отобразить. Это может быть использовано в том случае, когда веб-приложению требуется передать пользователю страницу с небезопасным содержимым. В случае сохранения его на клиентском компьютере и последующем открытии такие страницы не будут работать в контексте сервера, что повысит уровень его безопасности;
  • в элементе формы File Upload в целях безопасности изменен статус поля ввода на read-only. Кроме того, IE9 отправляет не полный путь файла, а только его имя;
  • IE9 так же содержит некоторые методики противодействия атакам с применением социальной инженерии.
< Лекция 16 || Самостоятельная работа 8: 12
Сергей Крупко
Сергей Крупко

Добрый день.

Я сейчас прохожу курс  повышения квалификации  - "Профессиональное веб-программирование". Мне нужно получить диплом по этому курсу. Я так полагаю нужно его оплатить чтобы получить диплом о повышении квалификации. Как мне оплатить этот курс?

 

Галина Башкирова
Галина Башкирова

Здравствуйте, недавно закончила курс по проф веб программиованию, мне прислали методические указания с примерами тем, однако темы там для специальности 

Системный администратор информационно-коммуникационных» систем.
Мне нужно самой найти тему? или делать по высланным темам