Лабораторная работа 9.1
	Настройка параметров безопасности Интернет браузера

• аппаратные: компьютер
• программные: ОС Windows XP или Windows 2000; браузеры: Internet Explorer; Firefox, Opera.

Теоретические сведения

Компьютер, подсоединенный к сети Интернет, может подвергнуться реальным атакам. Основные опасности при работе в сети Интернет с помощью браузера следующие:

• переносимые программы (ActiveX и Java-апплеты) внедренные в web_страницу;
• языки сценариев (JavaScript и VBScript), которые призваны превратить статичное содержимое HTML-страницы в динамическое.
• cookie, сохраняемые браузером могут позволить заинтересованным лицам следить за Вашими действиями в сети и знать о Ваших интересах.

Современные веб-страницы часто содержат небольшие программы: Java-апплеты, управляющие элементы ActiveX, скрипты JavaScript. Загрузка и выполнение таких переносимых программ, очевидно, связаны с большим риском возникновения массовых атак. Разработаны различные методы, направленные на минимизацию этого риска.

Java-апплеты – это программы на языке Java, откомпилированные в машинный язык, которые размещаются на веб-странице и загружаются вместе с ней. Апплеты обрабатываются интерпретатором JVM (Java Virtual Machine — виртуальная машина Java) в браузере, как показано на рисунке 1.

Рисунок 1. Обработка апплетов браузером

Преимущество интерпретируемого кода перед компилируемым состоит в том, что перед его исполнением изучается каждая инструкция. Это дает интерпретатору возможность проверить состоятельность адреса инструкции. Кроме того, системные вызовы также перехватываются и интерпретируются. Как именно они обрабатываются, зависит от политики защиты информации.

• если апплет надежный (например, он был создан на локальном диске), его системные вызовы могут обрабатываться без дополнительных проверок;
• если апплет не может считаться надежным (например, он был загружен из Интернета), его можно поместить в так называемую песочницу, регулирующую его поведение и пресекающую его попытки использовать системные ресурсы;
• если апплет пытается захватить системный ресурс, вызов передается монитору безопасности, который может разрешить или запретить данное действие. Монитор исследует вызов с точки зрения локальной политики защиты информации и затем принимает решение.

Управляющие элементы ActiveX — двоичные программы, которые можно внедрять в веб-страницы. Когда на странице встречается такая программа, производится проверка необходимости ее выполнения, и в случае положительного ответа она запускается. Эти программы не интерпретируются и не помещаются в песочницы, поэтому они обладают такими же возможностями, как обычные пользовательские программы, и, в принципе, могут нанести большой вред. Таким образом, вся защита информации в данном случае сводится к вопросу о том, стоит ли запускать управляющий элемент.

Для принятия таких решений корпорацией Microsoft был выбран метод, базирующийся на подписях кода (система Authenticode). Суть в том, что каждый элемент ActiveX снабжается цифровой подписью, а именно хэшем кода, подписанным его создателем с использованием открытого ключа. Когда браузер встречает управляющий элемент, он сначала проверяет правильность подписи, убеждаясь в том, что код не был заменен по дороге. Если подпись корректна, браузер проверяет по своим внутренним таблицам, можно ли доверять создателю программы. Если создатель надежный, программа выполняется, в противном случае игнорируется. Поскольку нет никакой возможности проследить за деятельностью всех компаний, пишущих переносимые программы, вскоре метод подписания кода может представлять собой довольно серьезную угрозу.

В JavaScript вообще отсутствует какая-либо официальная модель системы защиты информации. Каждый производитель пытается что-нибудь придумать. Например, в Netscape Navigator 2.0 было реализовано нечто подобное Java-модели, а в четвертой версии прослеживаются черты модели подписей кода.

В обозревателе Internet Explorer имеется несколько возможностей, позволяющих обеспечить защиту конфиденциальности, а также повысить безопасность личных данных пользователя.

Параметры конфиденциальности позволяют защитить личные данные пользователя – с помощью этих параметров можно понять, как просматриваемые web-узлы используют эти данные, а также задать значения параметров конфиденциальности, которые будут определять, разрешено ли web-узлам сохранять файлы cookie на компьютере.

К параметрам конфиденциальности Internet Explorer относят следующие:

• параметры конфиденциальности, определяющие обработку на компьютере файлов cookie.
• оповещения безопасности, выдаваемые пользователю при попытке получить доступ к web-узлу, не соответствующему заданным параметрам конфиденциальности;
• возможность просмотра политики конфиденциальности стандарта P3P (Platform for Privacy Preferences) для web-узла.

Средства безопасности позволяют предотвратить доступ других пользователей к таким сведениям, на доступ к которым у них нет разрешения. Это, например, сведения о кредитной карточке, вводимые при покупках в Интернете, от небезопасного программного обеспечения.

Когда производится загрузка или запуск программ, полученных из Интернета, необходимо убедиться, что программа получена из известного, надежного источника. В связи с этим, при выполнении загрузки на компьютер программы из Интернета, обозреватель Internet Explorer использует для проверки ее подлинности технологию Microsoft Authenticode, проверяющую наличие у программы действующего сертификата. Следует отметить, что эта мера не препятствует загрузке и запуску на компьютере программ, разработанных с ошибками, но снижает риск использования фальсифицированной программы.

Цифровая подпись — это способ введения электронной метки для файла данных. В этом случае файл подписывается его создателем (издателем). Наличие цифровой подписи позволяет сделать следующие выводы: имеется имя издателя файла, и этот файл не был изменен с тех пор, как он был подписан. При любой попытке фальсификации подпись становится недействительной.
Виды цифровых подписей:

• подписи с симметричным ключом;
• подписи с открытым ключом.

В первом случае суть метода состоит в создании некоего центрального авторитетного органа, которому все доверяют. Затем каждый пользователь выбирает секретный ключ и лично относит его в офис этого авторитетного органа. Когда возникает необходимость послать открытым текстом подписанное сообщение, оно (сообщение) шифруется ключом. Затем сообщение посылается в авторитетный орган, который расшифровывает его и посылает получателю со своей собственной подписью. Этим авторитетный орган подтверждает, что сообщение подлинное.

Во втором случае ключ делится на две части: закрытая и открытая части. С помощью закрытой части можно подписать данные, причем это может сделать только владелец ключа, а с помощью открытой части можно проверить подпись.

Сертификат – цифровой документ, широко используемый для проверки подлинности и безопасного обмена данными в открытых сетях, таких как Интернет, экстрасети и интрасети. Сертификат связывает открытый ключ с объектом, хранящим соответствующий закрытый ключ. Сертификаты имеют цифровые подписи, поставленные выдавшими центрами сертификации, и могут предоставляться пользователю, компьютеру или службе. Наиболее широко применяемый формат для цифровых сертификатов определяется международным стандартом ITU-T X.509 версии 3.

Выполнение работы

Задание 1. Настройте параметры безопасности браузера Internet Explorer:

1. Откройте диалоговое окно Свойства: Интернет (Пуск/Панель управления/Свойства обозревателя);
2. Перейдите на вкладку Безопасность и откройте параметры зоны Интернет с помощью кнопки Другой…;
3. Установите Проверку имени пользователя в режим Запрос имени пользователя и пароля;
4. Разрешите в соответствующих полях указанные ниже действия:
   • Блокировать всплывающие окна;
   • Доступ к источникам данных за пределами домена;
   • Переход между кадрами через разные домены;
5. Установите Разрешения канала программного обеспечения на Высокий уровень безопасности;
6. Отключите Использование элементов ActiveX не помеченных как безопасные;
7. Отключите загрузку Неподписанных элементов ActiveX;
8. Примените параметры кнопкой ОК;
9. Установите параметры конфиденциальности:
   • перейдите на вкладку Конфиденциальность;
   • установите регулятор на уровень Умеренно высокий;
   • разрешите загружать файлы cookie с узла www.mail.ru:
     • щелкните по кнопке Узлы;
     • введите в поле www.mail.ru и щелкните по кнопке Разрешить;
   • аналогично разрешите загружать cookie со следующих узлов: www.yandex.ru, www.pochta.ru;
   • примените параметры кнопкой ОК;
10. Настройте ограничения на доступ к ресурсам по содержанию информации на них:
    • перейдите на вкладку Содержание и откройте окно Ограничение доступа кнопкой Включить в разделе Ограничения доступа;
    • установите пароль:
      • перейдите на вкладку Общие;
      • откройте окно создания пароля кнопкой Создать пароль;
      • введите пароль - user и подсказку к нему - user;
      • примените параметры кнопкой ОК.
    • перейдите на вкладку Оценки и установите уровни Службы оценки Recreational Software Advisory Council по своему усмотрению;
    • примените параметры кнопкой OK;
    • очистите пароли, которые браузер автоматически запоминает. Для этого на вкладке Содержание, щелкните по кнопке Автозаполнение, а затем по кнопке Очистить пароли;
    • удалите временные фалы Интернет и cookies на вкладке Общие.

Задание 2. Выполните самостоятельные задания 1-3