http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 http://www.microfinance.uz/ataki-na-klientov-activex-java-i-drugie/ http://www.microfinance.uz/ataki-na-klientov-activex-java-i-drugie/#comments Mon, 06 Oct 2008 07:17:42 +0000 admin http://www.microfinance.uz/ataki-na-klientov-activex-java-i-drugie/ При взаимодействии клиента и Веб-сервера возможен запуск кода и на клиентской стороне; наиболее популярные технологии на сегодняшний день, это Java Virtual Machine и ActiveX. Необходимо сразу осознать, что загружаемый с удаленного сервера код — это набор команд, которые ваш хост (компьютер) будет исполнять, возможно, не информируя вас о результатах. Поэтому и относиться к такому коду следует соответственно. Возможно, мы загружаем этот код с доверенного сервера, но что мы можем, знать о его безопасности? Достаточно ли уверенности, что механизм электронно-цифровой подписи сообщил нам, что код не был модифицирован после того, как его разместил на сервере уполномоченный программист? Возможно, мы считаем, что настройка прав такова, что данный код не сможет получить большие привилегии?
Прежде всего необходимо определиться, что мы хотим от данного кода? Большая часть такого кода в Интернете предназначена для визуализации или озвучивания красивых, в значительной степени рекламных, эффектов при посещении данного сайта. Поэтому необходимо разделять следующее.
□ С какого компьютера (хоста) мы сейчас работаем? Это компьютер в Интернет-кафе, обычная пользовательская рабочая станция или компьютер, выполняющий важную роль в сети либо хранящий конфиденциальную информацию?
□ Что мы делаем? Либо это просто просмотр новых сайтов для удовольствия, либо поиск необходимой информации в Интернете, либо работа с функциональностью удаленного сервера?
Соответственно этому будут актуальны и разные варианты ответов на вопрос о том, что можно позволить загружаемой программе на нашем компьютере. При развлечении на временном, общедоступном компьютере мы можем загружать все что угодно, какое нам дело до последствий? Если мы ищем справочную информацию, то необходимы ли нам сложные, загружающие память и канал эффекты? Ведь мы ищем чаще всего текст. Графические файлы, исполняемые модули и даже видео-аудио клипы можно скачать отдельно и просмотреть позже, возможно, на другом компьютере соответственно поддержку исполнения загружаемого кода можно отключить.
Другой вариант — работа значимого компьютера с сервером, обеспечивающим доставку некоторой функциональности для выполнения задач. Наиболее очевидный пример — обслуживание организацией своих банковских операций на сервере банка. С одной стороны, и на хосте организации находятся важные финансовые сведения, но, с другой стороны, задача может функционировать в режиме тонкого клиента, т. е. все функциональные компоненты для обработки финансовой информации загружаются с сервера банка. В этом случае поддержка загружаемого кода должна быть включена. Но должны быть соблюдены все необходимые меры по обеспечению безопасности:
□ идентификация и аутентификация и клиента и сервера;
□ создание защищенного канала обмена информацией;
□ проверка целостности и авторизованности загружаемого кода;
□ обеспечение настройки прав, с которыми будет работать код;
□ доступность данных для кода и т. п.

]]> http://www.microfinance.uz/ataki-na-klientov-activex-java-i-drugie/feed/ 0