Информация и личная безопасность — страница 9

  • Просмотров 6062
  • Скачиваний 214
  • Размер файла 43
    Кб

отправка пользователем потенциально вредоносного кода самому себе. Это происходит, когда пользователь следует по ссылке вида: <A HREF=«http:/example.com/comment.cgi?mycomment= «<SCRIPT> вредоносный код</SCRIPT>»>Click here</A> При этом код отсылается как часть текста объявления на WWW-сервер example.com, который тут же возвращает этот текст пользователю для просмотра, доставляя таким образом вредоносный код браузеру. Cross-site scripting и SSL Интересным эффектом

cross-site scripting является возможность доставки злоумышленником кода через соединения, защищенные с помощью SSL. Это возможно, если WWW-сервер, с одной стороны, позволяет злоумышленнику поместить непроверяемый текст через незащищенное соединение, а с другой стороны, демонстрирует помещенный текст пользователю через защищенное соединение. Для защиты от cross-site scripting разработчики программ динамической генерации содержания должны

проверять вывод программы на наличие специальных тэгов и символов. Цифровая подпись Несколько слов о цифровой подписи. Ее наличие говорит только о том, что программа (управляющий элемент ActiveX, апплет Java или код Javascript) написана определенным автором и не была изменена. Подпись не гарантирует того, что после запуска программа не начнет стирать файлы с жесткого диска. Конечно, программа, подписанная широко известной компанией, вряд

ли содержит умышленно введенный вредоносный код, но может содержать ошибки, которые потом могут быть использованы злоумышленником. Также отметим, что если браузер доверяет одной подписанной программе, то он автоматически доверяет всем программам, подписанным тем же автором. Настройки современных браузеров позволяют отключать выполнение приложений Java, ActiveX и скриптов Javascript, или требовать обязательного наличия подписи в этих

программах. ШПИОН НА ПРОВОДЕ Если не предпринять специальных мер, то все данные между браузером и HTTP-сервером передаются в открытом виде. Таким образом, можно смело предположить, что прослушивание WWW-трафика не требует значительных усилий. Применение Digest-аутентификации (с некоторыми оговорками) снимает проблему перехвата пароля и при полной реализации даже защищает от несанкционированной модификации передаваемых данных

каким-либо промежуточным узлом. Однако сами данные при этом остаются беззащитными. Кроме того, вам следует знать, что все запросы вашего браузера регистрируются www-сервером, который записывает в специальный файл время запроса, IP-адрес клиента, URL запрошенного документа, имя пользователя (если применялась аутентификация), тип браузера и URL документа, который пользователь просматривал до этого. Если пользователь работает через