Обеспечиваем безопасность с помощью современных браузеров

Этот пост расскажет о работе браузеров и о мерах обеспечения безопасности в работе с локальными файлами html. Как выяснилось, успевшее набить оскомину множеству пользователей, сообщение: «Использовать браузер по умолчанию», на самом деле весьма полезно, поскольку безопасность работы с тем или иным локальным документом html зависит именно от выбора браузера. Впрочем, это не относится к маркетингу или SEO.

Политика безопасности Same-Origin Policy, способная защитить сайты друг от друга, является основой для обеспечения безопасной работы браузера. Именно эта политика не позволит, например, новостному сайту считывать контент из вашего электронного почтового ящика, даже когда оба сайта открыты вами одновременно. Однако существует небольшое «но»: что если web-страница запущена не из интернета, а из вашей файловой системы? При условии, что ваш браузер не имеет ограничений возможностей локальной страницы, можно гипотетически рассмотреть следующую атаку:

· вы получили по электронной почте сообщение от мошенника, с прикреплённой к нему web-страницей, и скачали эту страницу;

· открыть её локально в браузере вы уже не сможете;

· источником iframe, созданного локальной страницей будет выступать https://mail.google.com/mail/;

· после вашего входа в принадлежащий вам gmail-аккаунт, данный фрейм получит возможность загрузить все имеющиеся почтовые сообщения;

· прочесть контент фрейма локальная страница сумеет посредством JavaScript код frames[0].document.documentElement.innerHTML (если бы страница была загружена из интернета, браузер бы пропустил этот шаг, поскольку источником страницы является не Gmail, чтение не допускается политикой безопасности);

· локальная web-страница сможет передать в элемент textarea весь контент, и методом POST запроса послать данные прямиком на сервер, принадлежащий мошеннику. Теперь, атакующий имеет информацию, которую можно использовать как для рассылки спама, так и для заурядной кражи.

В описанном случае Gmail не сможет сделать ничего для собственной защиты от атаки подобного рода. Поэтому именно на браузеры возлагается обязанность предотвращения подобных событий, путём создания значительных трудностей, вплоть до полной невозможности выполнения шагов, описанных выше. Далее следует описание политики безопасности наиболее распространённых обозревателей.

Safari 3.2

Локальные страницы в Safari 3.2 наделены очень большими полномочиями, поскольку имеют возможность считывания контента практически с любого сайта. Обеспечить защиту пользователя Safari 3.2 способен при помощи усложнения открытия локальных файлов страницами из интернета. Например, при нажатии вами ссылки, ведущей на локальный файл, Safari 3 не удасться отображение локальной страницы. В данном случае, URL файла страницы придётся набрать вручную, или же просто открыть файл.

Internet Explorer 7

Подобно Сафари, данный браузер даст локальной странице возможность чтения любых сайтов, предотвращая переход на локальные файлы. Internet Explorer спосбен смягчать атаки, запрещая запуск с локальных страниц кода JavaScript (функция, работающая по умолчанию), тем самым предотвращая шаг 5 (описанный выше). Но он даст пользователю возможность снять описанное ограничение при помощи появившегося жёлтого информационного блока, позволяющего включить JavaScript или же ActiveX объекта.

Opera 9.6

Данный браузер ограничивает возможности локальных web-страниц только локальной файловой системой, не позволяя считывать страницу из сети. Эта политика уменьшает вероятность даже очень серьёзных атак, но позволяет локальной странице прочитывать данные с локальных файлов. Если в файловой системе имеется важная информация, может возникать серьёзная опасность. Например, вы составляете с помощью компьютера налоговую декларацию, а в вашей системе имеется архив деклараций за минувшие года. Для кражи этих данных, мошенник применит вышеописанную операцию.

Firefox 3

Подобно Опере, Firefox 3 не позволит локальной странице считывать информацию из сети. Кроме того, Firefox 3 установит ограничения прочитывания локальных страниц лишь одним каталогом или даже подкаталогом. Например, вы решили просмотреть локальную страницу, содержащуюся в каталоге «Мои загрузки». В данном случае Firefox 3 не позволит вам прочесть файлы, лежащие в папке «Мои документы». Но если запускаемая страница уже лежит в «Моих документах», она сможет считать всю информацию, находящуюся в папке.

Google Chrome

Политика данного браузера напоминает политику Оперы. Google Chrome не позволит вам кликнуть по ссылке, ведущей на локальные файлы и, кроме того, блокирует локальные страницы от считывания произвольных сайтов. Но он не отключит JavaScript, подобно Internet Explorer, чтобы упростить локальную работу web-разработчика (как показывает статистика, большинство пользователей включает JavaScript).

Кроме политики доступа, имеются и другие средства, обеспечивающие безопасность локальных web-страниц. Большинство пользователей оснащает свои компьютеры несколькими браузерами. Таким образом, всегда имеется возможность скачать страницу в Google Chrome, а просмотреть её в Internet Explorer. В этом случае в целях обеспечения безопасности применяется web метка, прикрепляемая к загружаемой странице. IE обработает такую страницу так, будто она из сети, позволяя тем самым включить JavaScript, но не давая доступа к локальным файлам.

Имеется множество вариантов для развития событий при запуске локальных страниц, поэтому защитить компьютер на 100% политика безопасности любого браузера не в силах. Разработчиками ведётся постоянное улучшение браузеров, они осуществляют доработки, закрывая тем самым «прорехи» своих программ. Поэтому, работая локально с чужой web-страницей, подумайте о возможных проблемах.

А сейчас рубрика «опрос читателей». Я подметил, что в среде блоггеров стало модным задавать своим читателям вопросы. И я – не исключение. Очень хочу знать, с какой РУ партнёрской программой вы работаете сегодня? При наличии соответствующих комментариев, нам удастся выявить наиболее прибыльную партнёрку. На сегодняшний день в ТОП перечне развлекательных компаний числится Sunbucks.ru. Лучший конверт на рынке. С кем работаете вы?

Обеспечиваем безопасность с помощью современных браузеров: 2 комментария

  1. haserk

    Пост какой-то… никакой…

  2. веб-мастер

    Нормальный пост, затрагивающий весьма актуальную тему. Как я смотрел обзоры, на сегодняшний день, Mozilla Firefox признан самым безопасным браузером, каким и я сам с удовольствием пользуюсь. Кстати, интересный момент — на 8 сентября назначен официальный выпуск IE — 9 !

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *