БЕЗОПАСНОСТЬ
ActiveX и JavaScript поклонников Microsoft не добавляют
Деннис Фишер
Если экспертов в области безопасности что-то и объединяет, так это масса противоречий, вносящих постоянное раздражение в их ряды. Стоит только завести речь о защищенности открытых кодов или системы предупреждения взломов, как тут же на вас обрушивается шквал откликов из самых разных сфер.
Но ничто не привлекает такого внимания и не вызывает столь жарких дебатов, как вопрос о том, не пора ли корпорациям отказываться от Internet Explorer корпорации Microsoft и переходить на альтернативные браузеры - Mozilla, скажем, или Opera. Как и во времена "браузерных войн", разгоревшихся в 90-х годах прошлого столетия, доски объявлений, рассылки и онлайновые форумы переполнены аргументами обеих сторон, и каждая отстаивает свою точку зрения едва ли не с религиозным фанатизмом.
Последняя волна таких споров была спровоцирована серией новых взломов: "троянские кони" и другие зловредные программы проникали на машины пользователей через хорошо известные бреши в Internet Explorer. В центре дебатов на этот раз оказалась обоснованность применения в браузере элементов ActiveX и JavaScript. Одна из недавних атак использовала уязвимость в IE, чтобы установить на чужом компьютере небольшую программку на JavaScript, которая затем начинала творить всякие подлости.
Впрочем, столь жарко обсуждаемые сегодня проблемы безопасности ActiveX и других активных скриптов новыми не назовешь. Этому вопросу еще в 2000 г. был посвящен семинар, проведенный тогда координационным центром "скорой компьютерной помощи" при университете Карнеги - Меллона в Питтсбурге.
На протяжении многих лет активные скрипты ActiveX, VBScript и JavaScript вызывали настоящее раздражение у экспертов по безопасности, считавших такие средства как минимум ненужными, а как максимум - опасными. Конечно, любую из этих функций, равно как и их все, в Internet Explorer нетрудно отключить, но большинство пользователей - особенно не слишком опытных - просто не осознают потенциальной опасности, да и не умеют блокировать работу инструментальных средств.
"Давайте назовем вещи своими именами: никто не имеет права по собственному желанию исполнять на моей машине никакую программу, если я не дал на это разрешения, - говорит Джозеф Ньюкамер, консультант в области безопасности и основатель фирмы FlounderCraft, расположенной в Питтсбурге. - А ведь если отключить активные скрипты, некоторые Web-сайты становятся абсолютно недоступными. Это мне кажется совершенно неправильным. Зачем им активные скрипты? Насколько я понимаю, никакой необходимости в них нет. А ведь совершенно ясно, что если подобные механизмы установлены на клиентских машинах, они рано или поздно обязательно будут использованы для распространения вирусов, промышленного шпионажа и кибертерроризма".
Победив почти 10 лет назад Navigator корпорации Netscape Communications, браузер Microsoft стал едва ли не монополистом - большинство исследователей сходятся в том, что на долю Internet Explorer сегодня приходится свыше 90% рынка. Тем не менее заметное и весьма активное меньшинство пользователей по различным причинам отдает предпочтение другим браузерам. Среди них немало специалистов в области безопасности и менеджеров ИТ, которые видят в IE слишком много брешей и не могут поверить в его надежную защищенность.
"Любой браузер, столь тесно связанный с операционной системой, обязательно окажется опаснее других. На примере Internet Explorer я убедился в этом сам, когда попытался запретить запускать iexplorer.exe всем, кроме администратора. И что же? Браузером Microsoft по-прежнему мог пользоваться кто угодно - достаточно было открыть папку "Мой компьютер" и ввести в адресной строке любой URL, - рассказывает Джекоб Брессиани, системный аналитик университета провинции Альберта из канадского города Эдмонтон. - Недавно министерство внутренней безопасности рекомендовало использовать вместо IE браузер Mozilla Firefox, и это должно заставить Microsoft прислушаться к нашему мнению. Если же корпорация проигнорирует и данный сигнал, остается только надеяться, что он откроет глаза общественности и та поймет опасность Internet Explorer".
Представители же Microsoft начисто отрицают якобы присущую ActiveX "врожденную" незащищенность и утверждают, что определенная доля ответственности за безопасность рабочих сред лежит на их владельцах и пользователях.
"В конце концов, клиент сам решает, устанавливать ему ActiveX или нет. И Internet Explorer предупреждает об этом пользователя, - утверждает Гэри Шейр, директор управления безопасностью Windows-продуктов корпорации Microsoft. - А проблемы возникают только с теми сайтами, которые пытаются перехватить управление и использовать его не в тех целях, для которых оно предназначено".
Microsoft надеется, что успокоить общественность ей помогут изменения, внесенные в Internet Explorer в новом пакете Service Pack 2 для Windows XP. Он предусматривает еще один уровень безопасности IE - зону локального компьютера Local Machine. В ней вообще не допускается запуск посторонних скриптов, а у пользователей появляются дополнительные средства и интерфейсы для блокирования подозрительных элементов управления ActiveX на своей машине.