Средства обеспечения безопасности и конфиденциальности в Internet Explorer 8
Безопасность работы пользователя, выбор подходящего режима и контроль – это ключевые темы в обозревателе Internet Explorer 8, который содержит много новшеств, призванных придать большую уверенность при посещении веб-страниц. В этом разделе мы рассмотрим некоторые средства и технологии обеспечения безопасности и конфиденциальности, появившиеся в Explorer 8, в том числе:
фильтр SmartScreen;
защита от фишинга и вредоносных программ;
защита от ClickJacking;
фильтр запуска сценариев между узлами (XSS);
выделение домена;
защищенный режим Internet Explorer;
явное согласие на запуск элементов ActiveX;
просмотр в режиме InPrivate;
фильтрация InPrivate.
Фильтр SmartScreen
В состав обозревателя Internet Explorer 8 включен фильтр SmartScreen – набор технологий, предназначенных для защиты пользователей от новых встречающихся в веб угроз, в том числе реализуемых методами социальной инженерии. Фильтр SmartScreen базируется на функциональности фильтра фишинга в Internet Explorer 7 и расширяет ее.
Фильтр SmartScreen защищает пользователя, просматривающего веб-страницы, от уже известных подставных и вредоносных узлов. Кроме того, фильтр SmartScreen включает средства защиты от техники ClickJacking, которую хакеры применяют для перехвата нажатий клавиш, кражи учетных данных пользователя, искажения веб-страниц и других типов атак. Также фильтр SmartScreen содержит новый фильтр запуска сценариев между узлами, предотвращающий атаки типа 1.
Защита от фишинга и вредоносных программ
Фишингом называется техника, которую многие атакующие применяют для того, чтобы обманом заставить пользователя сообщить финансовую или личную информацию в сообщении электронной почты или на веб-узле. Фишер маскируется под легитимное физическое или юридическое лицо и выманивает такую информацию, как пароли к учетным записям или номера кредитных карточек. Фильтр SmartScreen в Internet Explorer 8 предупреждает пользователя о подозрительных или уже известных подставных узлах, делая тем самым путешествие по Интернету более безопасным. Фильтр анализирует содержимое веб-узла, пытаясь найти признаки известных технологий фишинга, а также использует глобальную сеть источников данных для определения надежности веб-узла. Кроме того, фильтр SmartScreen Filter обеспечивает динамическую защиту от вредоносного ПО, удерживая пользователей от посещения узлов, замеченных в распространении такого ПО, и от загрузки файлов с вредоносным содержимым.
В состав фильтра SmartScreen входит целый ряд различных технологий и часто обновляемая онлайновая служба, что позволяет ему получать самую актуальную информацию о жульнических веб-узлах и использовать ее для того, чтобы своевременно предупреждать и защищать пользователей, работающих с обозревателем Internet Explorer 8.
Фильтр SmartScreen сочетает анализ веб-страниц на стороне клиента на предмет обнаружения подозрительных характеристик с онлайновой службой, доступ к которой пользователь может разрешить или запретить. Фильтр реализует защиту от подставных и вредоносных узлов тремя способами:
Сравнение адресов известных надежных веб-узлов, на которые пользователь пытается зайти, со списком известных узлов с высоким трафиком, который хранится на компьютере пользователя. Если узел найден в этом списке, больше никаких проверок не производится.
Анализ узла, на который пользователь собирается зайти, на предмет наличия признаков, характерных для подставных узлов.
Отправка адреса узла, на который пользователь собирается зайти, онлайновой службе, поддерживаемой корпорацией Майкрософт, которая тут же ищет узел в часто обновляемом списке узлов, замеченных в фишинге и распространении вредоносного ПО. В этот список входят узлы, вредоносность которых подтверждена авторитетными источниками, сообщившими о них Майкрософт.
Примечание. Доступ к онлайновой службе производится асинхронно по SSL-соединению, так что это не сказывается на загрузке страниц и не мешает работе пользователя. Если обратиться к службе не удалось, то страница отображается как обычно, а в строке состояния появляется всплывающее сообщение о недоступности службы.
Примечание. С помощью Internet Explorer можно проанализировать любой узел и узнать, является ли он подставным; для этого достаточно выбрать из меню Сервис пункт Фильтр SmartScreen, а затем команду Проверить веб-узел.
Уважая конфиденциальность пользователя, фильтр SmartScreen спрашивает, хочет ли пользователь включить или отключить эту функцию, – по умолчанию не установлен ни тот, ни другой режим. Пользователя можно лишить возможности выбора, подавив вопрос при первом обращении или собрав с помощью IEAK заказной пакет для предприятия. Чтобы фильтр SmartScreen выполнял свою защитную функцию, мы рекомендуем организациям при конфигурировании системы включать SmartScreen и запрещать пользователям его отключение. Кроме того, мы рекомендуем удалять ссылку Щелкните чтобы продолжить, присутствующую в предупреждениях SmartScreen, которые появляются, когда фильтр обнаруживает подставной или вредоносный узел. Дополнительную информацию о том, как запретить пользователям отключать фильтр SmartScreen Filter и не дать им проигнорировать предупреждения, см. в главе 3 «Рекомендации по настройке конфиденциальности».
Защита от ClickJacking
Фильтр SmartScreen теперь включает новую функцию, призванную обнаруживать и предотвращать ClickJacking. Она является частью основного кода Internet Explorer 8, поэтому всегда включена и не может быть выключена.
Перехват щелчка, или ClickJacking, происходит, когда атакующему удается обманом заставить ничего не подозревающего пользователя щелкнуть по содержимому, полученному из другого домена. Против техники ClickJacking большинство мер противодействия подделке HTTP-запросов (CSRF – cross-site request forgery) бессильны, и атакующий может использовать ее для изменения конфигурации надстроек над обозревателем небезопасным образом.
Атакующий демонстрирует набор фиктивных кнопок, а затем загружает поверх них другую страницу в прозрачном слое. Пользователь думает, что нажимает видимые кнопки, тогда как на самом деле выполняет какие-то действия на скрытой странице. Возможно, скрытая страница уже прошла процедуру аутентификации, поэтому атакующий может обманом заставить пользователя сделать нечто, что тот делать не намеревался. И проследить такую последовательность событий впоследствии невозможно, так как пользователь честно аутентифицировал себя на другой странице.
Чтобы узел мог воспользоваться дополнительной защитой от атак типа ClickJacking, необходимо включить заголовок X-FRAME-OPTIONS в состав HTTP-заголовков или в тег META HTTP-EQUIV. Дополнительные сведения об атаках типа ClickJacking, см. в блоге Безопасность IE8, часть VII: защита от ClickJacking (на английском языке).
Фильтр запуска сценариев между узлами (XSS)
Новая функция «Фильтр запуска сценариев между узлами (XSS)», входящая в состав фильтра SmartScreen, защищает пользователя от некоторых видов атак на серверные приложения. Они носят названия «атаки типа 1», или «атаки отражением», и являются наиболее распространенным видом атак посредством запуска сценариев между узлами. Это происходит, когда некоторый код, обычно в форме сценария, передается веб-серверу, а затем возвращается пользователю. Например, если информация, отправленная веб-обозревателем, без какой-либо проверки используется серверным сценарием, для генерации страницы, посылаемой пользователю. Если входная информация не проверяется, то отправленные пользователем данные могут быть включены в результирующую страницу без HTML-кодирования, так что код, введенный на стороне клиента, «отражается» на странице, посылаемой другому пользователю.
Фильтр XSS защищает пользователя от таких атак, анализируя возвращенные ему данные. Путем анализа потока данных Internet Explorer 8 может распознать некоторые действия, которые при обычных обстоятельствах не должны встречаться, и запретить выполнение вредоносного сценария. Дополнительные сведения о параметрах фильтра XSS см. в главе 2 «Рекомендации по обеспечению безопасности Internet Explorer 8».
Примечание. По умолчанию защита от Clickjacking и XSS включена. Защита от ClickJacking является частью стратегии глубоко эшелонированной обороны обозревателя и не может быть отключена. Однако пользователь может отключить фильтр XSS. Также пользователь может включить фильтр SmartScreen для защиты от фишинга и вредоносного ПО (как описано выше).
|
