Безопасность при работе в Internet

Вопрос о безопасности при работе в Internet стал особенно актуальным в последнее время и ситуация еще более накалится, прежде чем будет принято какое-то кардинальное решение. Во многом это проблема доступа. Доступность только для тех, с кем вы действительно хотите ее разделить - вот проблема защиты в Internet.

Повреждение аппаратных средств и программного обеспечения становится реальной проблемой, когда вы запускаете эти симпатично выглядящие программы, которые распространяются на Web-страницах по всему миру.

Многие из программ защиты, на которые пользователи рассчитывали, в большинстве своем имели какой-нибудь недостаток, который делал защитные функции бесполезными. Создать безопасную среду в Internet намного труднее, чем может показаться сначала. Речь пойдет о защитных мероприятиях, которые можно использовать, чтобы обезопасить себя с помощью стандартного браузера под Windows XP.

Цифровой сертификат

Уже сейчас предпринимаются попытки сделать загрузку управляющих элементов ActiveX, Java-апплетов и других программ из Internet хотя бы немного более безопасной. Фактически многие из этих мероприятий уже были предварительно запущены, и привлеченные компании работают над повышением их безопасности. Часть компьютерной прессы называет новую технологию сертификатом, другие используют термин цифровой сертификат.

Цифровой сертификат аналогичен водительским правам или удостоверению личности, поскольку выполняет те же функции. Необходимо, чтобы цифровой сертификат определял, кто создал Internet-объект типа Java-апплета или управляющего элемента ActiveX, и потенциально мог обеспечивать заполнение другой информации. Например, если объект случайно окажется клиентом или сервером, цифровой сертификат представит текущего владельца. Другими словами, вы получите информацию о частном лице или компании, с кем имеете дело.

Предоставление цифрового сертификата для поддержки объекта не оставляет сомнений по нескольким причинам. Например, что случится, если компания продаст права на управляющий элемент ActiveX, принадлежащий другой компании? Чтобы облегчить решение этой проблемы, на цифровой сертификат устанавливается срок действия, что вынуждает поставщика регулярно получать подтверждение, что он является тем, за кого себя выдает. Срок действия также ограничивает взломщика во времени: выяснить, как захватить сертификат, нужно максимально быстро. (Поскольку каждый сертификат - это отдельный элемент, захват персонального сертификата необязательно позволит злоумышленнику что-нибудь купить.) Цифровой сертификат помогает хранить данные для идентификации (проверки на подлинность): каждый пользователь вынужден проходить через центральный проверочный пункт.

Поиск цифровых подписей

Как различать того, кто имеет цифровой сертификат, и того, кто не имеет? Если в настройках браузера вы задали выдачу предупреждения (режим по умолчанию в большинстве программ), при подходе к опасному сайту появится диалоговое окно предупреждения. Аналогично диалоговое окно с предупреждением об опасности (Security Warning).

Удостоверьтесь, что дата является текущей и цифровое представление принадлежит именно этому частному лицу или компании. Если вы хотите получить дополнительную информацию, щелкните по ссылке, связанной с сертификатом, чтобы отобразить диалоговое окно Сертификат (Certificate), в котором представлена подробная информация о владельце сертификата, а также об организации, которая выпустила сертификат.

Диалоговое окно с предупреждением об опасности содержит опцию Всегда доверять владельцу этого сертификата. Если вы установите флажок, данная компания будет включена в список проверенных функцией Win Verify Trust - специальной функцией API, предназначенной для проверки защиты сертификата, - и браузер не станет спрашивать вас о сертификате каждый раз, когда вы загружаете Web-сайт этого поставщика.

Получение цифровой подписи

Вы хотите знать, с кем имеете дело, а пользователи хотят знать, кто вы. VeriSign и другие поставщики цифровой подписи предлагают способ ее получения.

К сожалению, наличие блокировки или ключа означает только, что соединение между ПК и сервером безопасно. Взломщик может переадресовать сообщение, которое вы посылаете, используя безопасный метод, с одного сервера на другой, применяющий незащищенную передачу. В итоге блокировка или ключ гарантируют безопасное соединение только на одном участке маршрута данных. Уделите внимание обзору параметров защиты Web-сайта прежде, чем полностью довериться безопасному подключению, которое может быть защищено только частично.

Цифровые подписи в год стоят очень недорого. VeriSign также обеспечивает 60-дневный цифровой идентификатор; включите эту опцию, если хотите увидеть, как он работает, прежде чем купить.

Выберите опцию Class │ Digital ID (Цифровой ID класса Class 1), появится форма регистрации цифрового идентификатора. Вы должны ввести свое имя и фамилию и дать адрес электронной почты для получения сертификата. После того как вы укажете эту информацию, допустимо включить дополнительные сведения, например ваш почтовый индекс, возраст и пол, как часть сертификата.

Последняя строка - ключевая фраза, аналог пароля. Выберите что-нибудь простое, потому что VeriSign применяет эту фразу, когда вам необходима поддержка сертификата. Если вы заполнили форму для получения сертификата, предоставьте информацию об оплате. Бесплатной является только 60-дневная демонстрационная версия. Появится соглашение об использовании сертификата в нижней половине страницы.

Внизу страницы имеется кнопка Accept (Принимаю). Нажмите ее, и откроется страница Check Your E-mail (Проверьте вашу электронную почту), где сообщается, что вы ввели всю требуемую информацию. Электронная почта, которую вы принимаете, содержит ссылку на Web-сайт, откуда вы загружаете цифровую подпись, а также специальный PIN (персональный идентификационный номер), предназначенный для загрузки сайта.

Зайдите по ссылке на Web-сайт. Скопируйте PIN-код, полученный по электронной почте, и вставьте его в заданную строку. Нажмите Submit (Подтверждаю). Через несколько минут страница будет готова. Не трогайте браузер в это время, просто подождите, пока операция закончится. Нажмите кнопку Install (Установить) внизу страницы, чтобы завершить процесс инсталляции. Отобразится сообщение о том, что ваш браузер установил цифровую подпись.

Файлы cookie

Если вы проводите много времени, общаясь в телеконференциях, вам приходилось слышать разговоры о cookie. Что именно означает слово cookie? Это маленький файл на локальном жестком диске, содержащий информацию о конфигурации, которую Web-сайт может использовать.

Обычно такой файл находится в особом каталоге, который легко просмотреть, и Web-сайт применяет его для хранения данных, в частности вашего имени и хронологии обращений на сайты. Браузер не вправе устанавливать ограничения на то, какую информацию Web-сайт может записывать в cookie; в итоге появляются проблемы. Например, что помешает Web-сайту записать в cookie рабочую программу и затем инициировать ее выполнение операционной системой?

Internet Explorer сохраняет cookie как отдельные файлы в папке \ Document s and Settings\ <User Name>\Cookies. Название файла cookie представлено именем пользователя, символом @ и названием сайта. Internet Explorer добавляет к нему расширение.txt, чтобы вы могли открыть файл cookie в Блокноте и увидеть его содержимое. Например, если Магомед посетит сайт http://www.msn.com. MSN загрузит на его машину cookie и в папке Cookies появится файл [email protected].

Основное преимущество этого подхода состоит в том, что несколько пользователей могут иметь индивидуальные настройки конфигурации для одного и того же сайта, даже если все они применяют единственный компьютер для его посещения. Кроме того, чтобы избавиться от настройки конфигурации сайта, который вам не нужен, просто удалите файл cookie. Недостатки метода заключаются в неэффективном использовании дискового пространства; кроме того некоторые пользователи не понимают, от каких cookie необходимо избавляться (даже если знают, что папка Cookies существует). Очевидно, ни Internet Explorer, ни Netscape Navigator пока не являются совершенными.

Internet Explorer позволяет удалить cookie, которые не нужны. Выполните команду Вид => Свойства обозревателя (View => Internet Options), чтобы отобразить одноименное диалоговое окно. Выберите вкладку Конфиденциальность (Privacy), и в диалоговом окне осуществите настройки.

Здесь имеется ползунковый регулятор для изменения уровня конфиденциальности от низкого (Low) до высокого (High). Опция Блокировать все «cookie» (Block All Cookies) предохранит систему от записи файлов cookie вообще. Различные уровни определяют степень защиты данных на компьютере. Например, высокий уровень конфиденциальности блокирует любой файл cookie, который не отвечает требованиям политики конфиденциальности. Кроме того, эта настройка блокирует cookie, которые содержат идентификаторы личности. Низкий уровень конфиденциальности ограничивает доступ файлов cookie независимых фирм, которые не отвечают основным требованиям политики конфиденциальности (например, баннерные объявления), а также cookie, которые содержат информацию для идентификации пользователя. Последняя позиция ползунка - Принимать все •«cookie» (Accept All Cookies). Использовать эту настройку не следует, так как она открывает вашу систему для cookie любого типа.

Подход с применением «песочницы» против открытого доступа

Защита должна быть более совершенной, чем то, что мы сейчас имеем, потому что в Internet происходит много изменений - появляются новые возможности, увеличивается гибкость. Главную роль в этом процессе играют управляющие элементы ActiveX, Java-апплеты и язык сценария. Однако, учитывая проблемы со сценариями, обычно нужна подсказка системы - какие из них применяются. Таким образом, можно отключать их использование на сайтах, которым не доверяю, и разрешить на других сайтах. Java-апплеты используют такое средство, как выделение специальной области - «песочницы» (Sandbox), в которой выполняются сомнительные приложения. Например, Java - апплеты не разрешают доступ к жесткому диску, потому что в этом случае апплет должен использовать операционную систему.

Кроме того, подход с применением «песочницы» позволяет создать универсальный апплет, который будет функционировать на многих платформах. Обработчик Java обеспечивает все, что необходимо Java-апплету, так что он не зависит от системных служб. Другими словами, Java-апплет становится автономным.

Корпорация Microsoft приняла другой принцип с ActiveX. Это фактически продолжение технологии OLE. В отличие от Java-апплетов, управляющие элементы ActiveX могут взаимодействовать с приложениями на вашей машине, обращаться к жесткому диску и пользоваться данными из системного реестра. Это делает управляющие элементы ActiveX намного более гибкими для разработчиков и более полезными для пользователей.

Проблема заключается в уровне доступа, который они получают. Управляющие элементы ActiveX имеют тот же уровень доступа, как любое другое приложение. Следовательно, неправильное управление может вызвать не просто небольшое повреждение. Загружая управляющий элемент, сначала подумайте о его происхождении.

Сторонники ActiveX утверждают, что управляющие элементы ActiveX подпадают под те же рекомендации, что и любые управляющие элементы OLE. Кроме того, автор должен подписать управляющий элемент, чтобы показать его загрузчик. (Можно загрузить управляющий элемент, даже если автор не подписывает его, но браузеры Internet Explorer и Netscape Navigator выведут предупреждение об опасности этой операции). Использование цифровых подписей означает, что можно идентифицировать автора управляющих элементов ActiveX, и принять решение относительно их загрузки и применения. Управляющие элементы Java загружаются автоматически можно заранее увидеть цифровую подпись для них, но не узнаете, кто их создавал.

Сравнение подхода с применением «песочницы» и открытого подхода не выявляет преимущества какого-либо из них. Выбор вида ащиты - дело рук пользователя.

Тема: «Файловые системы Windows XP».