Прорехи в системе защиты, обнаруженные в самое последнее время, еще раз напоминают о необходимости постоянной бдительности при обеспечении безопасности сетей, подключенных к Internet.
Проблемы существуют и в Navigator 2.0 корпорации Netscape Communications, и в Java фирмы Sun Microsystems, и в Internet Information Server корпорации Microsoft. Большинство ошибок уже исправлено, в том числе самые последние, обнаруженные в макроязыке JavaScript программы просмотра Navigator (см. врезку).
В Internet были опубликованы как минимум три страницы, охладившие пользовательские симпатии к JavaScript. Анализ этих страниц показывает, как JavaScript может захватить частную информацию и передать ее через Internet.
Пользователи текущей версии Navigator могут отключать только поддержку Java, но не JavaScript. Как сообщили представители Netscape, в новой версии Navigator 2.01 предусмотрена возможность отказа от поддержки JavaScript.
Исследователи из Принстонского университета обнаружили более серьезную угрозу. Учитывая хорошо известную незащищенность протоколов TCP/IP и службы имен доменов (DNS), хакер может использовать Java-приложения, чтобы обойти брандмауэр.
В начале марта Netscape выпустила программную “заплату”, обеспечивающую безопасность при работе приложений с Navigator 2.0. Фирма Sun обещает быстро внести исправления в программу просмотра HotJava и комплект Java Development Kit. До установки обещанных “заплат” Тестовый центр PC Week Labs рекомендует отключать поддержку Java в Navigator и HotJava.
Недостатки в Internet Information Server (IIS) корпорации Microsoft позволяют взломщику, введя через программу просмотра Web команды DOS, удалять и перемещать файлы в любом Windows NT Server, выполняющем IIS. В начале марта Microsoft выпустила “заплату”, исправляющую эту ошибку.
Обнаруженные ошибки вовсе не означают, что нельзя удержать приемлемый уровень безопасности в сети, связанной с Internet. Однако природа Internet требует по крайней мере ежедневного просмотра системы телеконференций, электронной почты и узлов Web для поиска информации о брешах в системе защиты и возможных способах их латания.
Имон Салливан
ЗАДЕЛЫВАНИЕ ПРОРЕХ В СИСТЕМЕ ЗАЩИТЫ INTERNET
JavaScript
Проблема
- Разработчики JavaScript могут скрыто отслеживать использование Web. (Описание проблемы вы найдете по адресу: http://www.osf.org/~loverso/javascript/index.html).)
- С помощью JavaScript можно получить список локальных дисков (http://www.osf.org/~loverso/javascript/dir.html).
- С помощью JavaScript можно определить адреса электронной почты (http://www.popco.com/grabtest.html).
Решение
- Прекратить использование Navigator 2.0 и перейти к версии 2.01. Присматривать за подозрительной активностью при контакте с незнакомыми узлами Web.
Java
Проблема
- Java-приложения могут атаковать сети в обход брандмауэров (http://www.cs.princeton.edu/~ddean/java/).
Решение
- Установить “заплату” для Netscape (http://home.netscape.com/newsref/std/java.security.html).
- До установки “заплаты” отказаться от поддержки Java.
- Если возможно, использовать Java Development Kit только на автономных машинах.
Internet Information Server
Проблема
- Internet Information Server корпорации Microsoft делает прореху в системе защиты на серверах под Windows NT (http://www.omna.com/iis-bug.htm).
Решение
- Установить “заплату” от Microsoft (http://www.microsoftcom/infoserv/iisenhance.htm).
- Не использовать командные файлы в качестве CGI-сценариев на большинстве серверов Web под NT.
