ЭЦП в браузере: проблемы, решения, личный опыт / Хабр

ЭЦП в браузере: проблемы, решения, личный опыт / Хабр Сертификаты
На чтение 19 мин. Просмотров 4 Опубликовано
Содержание
  1. Почему эти элементы работают только с internet explorer?
  2. Что такое activex
  3. Суть проблемы и что с ней будет завтра
  4. Activex: что это? простейшие понятия
  5. Activex – что это
  6. Activex
  7. Java applet
  8. Загрузка с сайта
  9. Как включить или отключить active x в internet explorer
  10. Как исправить ошибки activex
  11. Как отключить activex в ie
  12. Как установить activex (для internet explorer)
  13. Костыли
  14. Личный опыт
  15. Настройка
  16. Настройка activex в других браузерах
  17. Настройка activex для яндекса и других браузеров
  18. Настройки безопасности
  19. Нужен ли activex?
  20. Отключение/включение фильтрации
  21. Плагины к браузерам
  22. Плюсы и минусы
  23. Преимущества и недостатки
  24. Технология в других браузерах
  25. Туннель
  26. Фильтрация activex
  27. Чем отличается java от актив икс

Почему эти элементы работают только с internet explorer?

Интернет-обозреватель Internet Explorer — стандартный браузер для интернет-сёрфинга, который идёт «в упаковке» с операционной системой Windows. Особенность его работы в том, что он использует те же файлы, что и сама ОС, а значит, что IE и OS Windows тесно связаны друг с другом.

Всё это позволяет ускорить работу средства для сёрфинга и создавать минимальные нагрузки на систему.Для правильной работы ActiveX необходимы те же файлы, что использует IE, для того чтобы коды компонента обрабатывались напрямую системой. Да это сложно представить, особенно начинающим пользователям, но именно так эта система работает.

Что такое activex

Актив Икс — это платформа, которая помогает определять элементы утилит, которые можно использовать. Обычно эти компоненты написаны на разных программных языках. Она создана специально для распространения ПО через глобальную сеть.

Эта платформа была введена в использование в 1996 году компанией Microsoft. Она до сих пор широко используется в системе Windows, хотя не привязана к ней.

Суть проблемы и что с ней будет завтра

Проблема довольно тривиальна: хотите реализовать ЭЦП на клиенте в браузере, думаете использовать для этого свой любимый javascript? Ничего не выйдет, и все потому, что браузеры просто не предоставляют API для работы с сертификатами, токенами, подписью и тд. и тп… Как должен выглядить этот механизм в мечтах любого веб-разработчика? Наверное как-то так:

		//получить список сертификатов пользователя
		window.crypto.getCertificates(options);
		//подписать какую-то строку
		window.crypto.signText(text, options);
		ну и так далее...

Да, а еще было бы здорово, чтобы все это поддерживало отечественные ГОСТы… ну, это я уж совсем размечтался. К сожалению, ничего подобного в современных браузерах вы не найдете. Есть, конечно, робкие попытки реализовать что-то похожее у Mozilla, но предупреждение в заголовке статьи весьма печалит:

Кстати, если кто-то пытался использовать этот API, отпишитесь, весьма интересно.Также есть упоминание Crypto в репозитории W3C. Скорее всего работа там началась совсем не так давно, материала там сейчас немного, но последнее обновление было недавно, так что работа идет:

Будет ли все это доведено до ума, а самое главное, когда это случится, сегодня вам, наверное, никто не скажет. Так что же остается делать разработчикам, которым надо здесь и сейчас?

Activex: что это? простейшие понятия

Чтобы не загружать неподготовленного пользователя ненужными техническими терминами, рассмотрим технологии ActiveX так, чтобы было понятно каждому. На самом деле элементы ActiveX представляют собой небольшие программы, из которых программист или создатель сайта как из блоков может составить множество интересных конструкций.

Изначально считалось, что такие элементы (еще называемые надстройками) использовались исключительно для добавления определенным ресурсам Всемирной паутины множества дополнительных возможностей и поддерживались только «родным» браузером Windows под названием Internet Explorer (использование программ на разных языках в одном браузере независимо от среды разработки).

Отчасти это так и есть. Однако сейчас очень много других управляющих элементов тоже можно отнести к технологиям ActiveX. Что это? Самым простым примером можно считать дополнение в виде Flash-плеера от корпорации Macromedia, стоявшей у истоков его создания.

Сегодня же это самый распространенный плагин Adobe ActiveX Player, точнее Adobe Flash Player, который способен интегрироваться практически во все известные сегодня браузеры. Кроме корпорации Adobe, принявшей эстафету у Macromedia, существует еще очень много разработчиков аналогичных плагинов, но их продукция, по сравнению с этим уникальным плеером, не идет ни в какое сравнение, и поэтому является просто невостребованной.

Впрочем, и программами в обычном понимании такие элементы назвать очень трудно, ведь запустить их классическим способом (двойным кликом) просто невозможно. Их встроенные коды выполняются как раз-таки в средах интернет-браузеров.

Activex – что это

activex что этоВозможно, вам доводилось слышать такое название – «ActiveX объект» или «Элемент управления ActiveX».

Скорее всего, это понятие проскакивало при просмотре веб-страниц в интернете с помощью браузера Internet Explorer, который поддерживает эту технологию. Или, возможно, вам предлагалось включить ActiveX, а возможно возникала ошибка работы ActiveX. В любом случае в этой заметке я хочу рассказать о том, что это такое.

Я не буду углубляться в подробное описание, так как во-первых, это понятие достаточно сложное, а во-вторых, нам, как конечным пользователям, абсолютно не нужно знать все эти «программистские штучки»:) Итак, что же это такое ActiveX?

Это специальная технология, по которой создаются программы. Но это необычные программы, которые можно запустить двойным щелчком левой кнопки мышки по файлу. Эти программы запускаются и выполняются операционной системой.

Основными компонентами технологии ActiveX являются так называемые управляющие элементы ActiveX – это небольшие программки, которые используются при создании веб-страниц. Эти программы позволяют расширить функционал веб-страницы, например, при помощи ActiveX в браузере загружается плеер, который позволяет воспроизводить видео или музыку онлайн, или же открывать файлы других форматов прямо в окне браузера. Также с помощью управляющих элементов ActiveX создаются различные кнопки и диалоговые окна на веб-страницах, воспроизводится анимация. Многие компании используют элементы управления ActiveX для установки своих программ прямо со своего интернет-сайта на ваш компьютер.

Про сертификаты:  Проба «МАНТУ» - Вирилис

Если при создании сайта использовалась технология ActiveX, то при посещении этого сайта браузер выведет запрос на установку элемента управления ActiveX. Если вы соглашаетесь с запросом, то управляющий элемент загружается на ваш компьютер и запускается на нём.

Теперь не сложно догадаться какая опасность таится в этой технологии.

Поскольку управляющие компоненты ActiveX – это программы, которые запускаются через веб-браузер, то есть вполне реальная угроза «подцепить» какую-нибудь заразу в виде вредоносной программы или вируса, так как злоумышленники могут применять технологию ActiveX для создания и распространения различных вирусов и шпионских программ.

Официально технологию ActiveX поддерживает только браузер Internet Explorer, но поскольку этот браузер идет в комплекте с операционной системой Windows, то многие начинающие пользователи используют именно его для работы в интернете.

Отсюда вытекает самая большая опасность – так как начинающие пользователи не особо разбираются в своих действиях, то велика вероятность подхватить вирус при простом просмотре веб-страниц в интернете.

По умолчанию, браузер спрашивает у пользователей разрешение на установку компонентов ActiveX, но, во-первых, программы могут изменить настройки браузера, чтобы обойти эту проверку и автоматически запускать элементы управления ActiveX, а во-вторых, даже если уведомление и появилось, то большинство людей не читают предупреждения программ, а на все вопросы предпочитают отвечать «OK».

К сожалению, антивирусные программы не очень хорошо справляются с обнаружением и обезвреживанием подобных вирусов. Дело в том, что в отличии от обычных вирусов вредоносный элементы ActiveX очень сложно распознать, так как он в работе ничем не будет отличаться от вполне, так скажем, доброкачественного модуля. Как только пользователь соглашается установить подобный ActiveX элемент, программа запускается на компьютере и скачивает без всяких предупреждений трояны, вирусы, шпионские программы и т.д. и т.п.

Тут, конечно, может помочь грамотно настроенная защита – антивирус и брандмауэер. Но не стоит забывать, что среди вирусо-писателей встречаются профессиональные программисты, вполне способные обойти защиту компьютера, тем более, что пользователь сам разрешает запустить первоначальную программу на своем компьютере, а это дает большие преимущества.

Думаю, что опасность, которую в себе несут элементы управления ActiveX понятна. Теперь давайте поговорим о том, как себя от этой опасности оградить.

  1. Если вы пользуетесь браузером Internet Explorer обязательно проверьте настройки безопасности.

    Они находятся в меню Сервис –> Свойства обозревателя –> Безопасность.

    2. Настройки безопасности Internet Explorer

    Нажмите кнопку «Другой». Убедитесь, что выключены опции «Загрузка неподписанных элементов ActiveX» и «Использование элементов ActiveX, не помеченных как безопасные».

    А для повышенной безопасности установите все остальные опции ActiveX на этой странице в положение «Предлагать» .

    Настройки activex

    И никогда не нажимайте «OK» при появлении сообщения в браузере, не прочитав это сообщение и не убедившись в том, что предлагаемая к установке программа действительно вам нужна.

  2. Регулярно устанавливайте обновления от Microsoft. Эти обновления устраняют обнаруженные проблемы в системе безопасности как операционной системы, так и браузера Internet Explorer.
    Я предполагаю, что вы добропорядочный пользователь и используете лицензионную операционную систему Windows:) Иначе обновляться вам не рекомендуется…
  3. Не устанавливайте никакие модули или расширения с сайтов!

На сегодняшний день единственный полезный модуль, который имеет смысл установить на свой компьютер — это Adobe Flash Player. Он используется для украшения веб-страниц – позволяет создавать красочные спецэффекты, встраивать на сайты интерактивные игры или проигрывать видео онлайн.

Все остальные 99,99% модулей и плагинов, которые пытаются установиться на ваш браузер или скачаться на ваш компьютер, либо бесполезны, либо несут в себе потенциальную угрозу.

Да, еще забыл про один полезный и необходимый плагин — Java. Эта технология также позволяет играть в онлайн-игры, общаться с людьми по всему миру, просматривать изображения в формате 3D и выполнять множество других задач.

Рекомендую регулярно обновлять эти плагины. Без всех остальных плагинов и элементов управления ActiveX можно спокойно ОБОЙТИСЬ.

Activex

Используется в 99% случаев, когда необходимо реализовать ЭЦП в браузере, не стесняются его использовать банки, торговые площадки и прочие серьезные организации. На мой взгляд, сейчас это худший из вариантов, почему?

Вы привыкли использовать для работы свой любимый FF или Chrome? — Забудьте! ActiveX работает только в IE.


Не любите копаться в настройках браузера? — А придется! Перед тем как все заработает, вам изрядно придется покопаться в настройках безопасности вашего IE.

А может быть вы такой продвинутый, что у вас стоит Win7, да еще и x64, а может вы еще и IE9-10 себе поставили? — Очень зря, скорее всего у вас ничего не получится.

Шутки шутками, а ведь Microsoft объявила, что поддержка CAPICOM прекращена и далее компонент разрабатываться не будет и последняя версия CAPICOM, которая официально поддерживается, была в Windows Vista.

Java applet


Все вроде бы не так уж плохо, и код написан один раз, и работает во всех браузерах, и даже настраивать ничего не надо. Но если у вас не установлена JRE, ничего не будет. Чаще всего работает в связке с

, хотя, используя JNI, можно много чего прикрутить. Да, чтобы все работало, сам апплет должен быть подписан.

Загрузка с сайта

Иногда установить элементы управления предлагает конкретный сайт, на который вы заходите. Проверьте, чтобы на странице было четко написано, с какой целью вы должны добавить требуемые компоненты.

Если вы сомневаетесь в порядочности владельцев сайта и боитесь, что вместо элементов управления вы установите вредоносные приложения, то лучше сразу откажитесь от этой затеи, чтобы не пришлось потом удалять вирусы с компьютера.

Про сертификаты:  Получить органический сертификат в России ≡ Стоимость оформления органического сертификата

Убедитесь, что компоненты Active X предоставляются вам от имени проверенного ресурса. Проще говоря, если какой-то сайт требует для корректной работы установку элементов управления, то именно он должен выступать поставщиком программы.

Если вы уверены, что пользуетесь проверенным порталом, который предоставляет вам корректно работающее программное обеспечение, то согласитесь с установкой, нажав кнопку «Install».

Как включить или отключить active x в internet explorer

Теперь заходите во вкладку «Сервис» и открываете «Свойства обозревателя».

Потом переходите во вкладку «Безопасность» и кликаете на кнопку «Другой».

Пролистываете в появившемся окне страницу до тех пор, пока не увидите меню «ЭлементыActiveX». Затем щелкаете по кружкам, как показано на рисунке снизу.

После данных изменений рекомендуется перезагрузить компьютер.

Как исправить ошибки activex

Если сайт все время выдает ошибку, что загрузка Active X компонента не была выполнена, то необходимо в первую очередь попробовать его перезагрузить с помощью кнопокCtrl F5. Если не помогло, то добавить его в безопасные.

Если же выскакивает ошибка «Internet Explorer заблокировал попытку установки ActiveX», то попробуйте понизить безопасность обозревателя или сделать следующие действия, которые указаны на рисунке снизу.

Открыть свойства браузера IE, зайти в безопасность и кликнуть «Другой», найти пункт «элементы Active X» и пометить флажком пункт «Запуск элементов ActiveX и модулей подключения».

Что такое кэш в телефоне и компьютере

Как отключить activex в ie

Вам нужно наоборот отключить ActiveX в Internet Explorer? Тогда идите тем же путем, что и на инструкции выше, только в конце установите значение «Отключить».

Как установить activex (для internet explorer)

Необходимо открыть браузер Internet Explorer, и там перейти на любой сайт использующий эту технологию. Затем юзера спросят о необходимости установки элементов платформы. Если кликнуть на надпись вверху страницы, то в контекстном меню будет запрос – Install ActiveX Control. Нажатие кнопки установит компонент.

Костыли

Хочу сразу оговориться, ЭЦП в браузере — это, пожалуй, один из немногих случаев когда разработчик просто вынужден использовать различные ухищрения и костыли, я перечислю наиболее популярные из них:

Давайте рассмотрим недостатки каждого из них, достоинства описывать не буду, имхо, у всех костылей оно одно — “ну, оно же работает”.

Личный опыт

Да, мне тоже “повезло” заниматься реализацией ЭЦП в браузере. Сам работаю в одной из минских компаний, занимающейся разработкой ПО, и однажды потребовалось срочно реализовать поддержку ЭЦП в браузере в одной из систем. Скажу честно, сначала хотел поступить как и 99% в такой ситуации и задействовать ActiveX.

Но, постепенно погружаясь в проблему, стал осознавать, что это обернется сначала головной болью для пользователей, а затем и для меня как разработчика. Писать плагины под каждый браузер не было времени. Оставалось два решения: java апплет и туннель.

Дело в том, что в Беларуси как и в России принят свой ГОСТ на процедуры выработки и проверки электронной цифровой подписи, только у нас он называется СТБ РБ 1176.2–99 и никаких вам RSA. Даешь свой ГОСТ каждой стране! И если для российского ГОСТа есть практические реализации каждого из вышеперечисленных способов, можно выбирать любой, то белорусским разработчикам повезло куда меньше.

По этому поводу даже лично беседовал c представителями компании, выпускающей криптографическое ПО для нашей страны. Разговор оставил двоякое впечатление. Народ вполне адекватный, проблему понимают, но говорят, что это не их задача, они, мол, написали криптопровайдер, удовлетворяющий всем ГОСТам и прошедший государственную экспертизу, а как вы его собираетесь использовать, это не их проблема.

— Можем лишь предложить вам использовать ActiveX.— Ну, а как же, проблемы связанные с ним? — У нас, конечно, есть определенные наработки с использованием java апплетов, но в качестве продукта мы вам их пока предложить не можем. Разработка такого рода ПО — не наша задача.

На мой взгляд, это не совсем верная позиция, ведь предлагая продукт, коммерчески выгодно предложить и окружение к нему.

Ну да ладно, работаем с тем, что есть. А что у нас есть? Ранее в нашей компании уже было написано desktop-ое приложение, использующее функции ЭЦП, и там имелся компонент, работающий непосредственно с CryptoAPI, написан он был на delphi. Очень уж хотелось как-то использовать этот опыт коллег и самому не тратить на это время, а самое главное сделать это быстро. Но как это сделать? Соединить компонент на delphi и веб-приложение? Ответ на схеме:

Кратко поясню, что происходит. Когда нам нужно что-то подписать, мы с помощью javascript вызываем функцию java апплета:

	document.CryptoAPI.sign(text);

Апплет в свою очередь через сокеты связывается с desktop-приложением, передает ему необходимые параметры, приложение подписывает то, что мы запросили (для этого как раз используется ранее написанный компонент коллег), и передает подписанные данные апплету, а тот в свою очередь браузеру, вызывая функцию:

	function signResult(params) {
		//что-то делаем с подписанными данными
	}

Настройка

Если выполнение элементов осуществляется некорректно (например, браузер заблокировал доверенные ресурсы, запрещены интерактивные блоки, IE отображает уведомление «Пожалуйста, настройте… ActiveX»), необходимо предварительно настроить модуль:

1. В верхней части IE кликните раздел «Сервис».

2. Кликните пункт «Свойства браузера».

3. Щёлкните вкладку «Безопасность». Нажмите кнопку «Другой».

4. Прокрутите список параметров вниз, до раздела «Элементы ActiveX… ».

5. Для безопасного и корректного запуска элементов выполните такие настройки:

«Автоматические запросы… » — Отключить (для снижения риска вирусной атаки через задействование этой веб-технологии);

«Включить фильтрацию… » — Включить (для выборочного запуска, также в целях безопасности);

«Разрешать… только увтерждённые» — Включить (для активации только на доверенных сайтах);

«Разрешить… которые не использовались» — Отключить (не запускать блоки, которые раньше не использовались);

Про сертификаты:  220 Вольт — промокоды! Июль-август 2021: все скидки и купоны для !

«Скачивание неподписанных элементов» — Отключить (также, чтобы не активировать сомнительные, потенциально опасные объекты);

«Скачивание подписанных элементов» — Предлагать (отображается запрос на загрузку).

Настройка activex в других браузерах

Одним из недостатков этой программной платформы является ее доступность по умолчанию лишь для Internet Explorer.

Настройка activex для яндекса и других браузеров

К сожалению, ActiveX для Оперы, Яндекс.Браузера, Firefox, Safari и других браузеров не предусмотрен.

Настройки безопасности

Кроме фильтра можно регулировать параметры безопасности и определять самому какую программу компьютер скачает, а какую вы запретите. Для этого перейдите в свойства браузера и вкладку безопасность.

С помощью ползунка в меню «Уровень безопасности для этой зоны» вы можете задать соответствующий уровень.

Нужен ли activex?

С одной стороны, технологию ActiveX поддерживает только Internet Explorer, а большинство опытных пользователей Интернета пользуется другими браузерами и не подозревает об этой технологии.

Но если Вы в своей жизни вынуждены использовать какие-либо сайты, в обязательном порядке требующие использование старых версий IE, то вам просто необходимо использовать компоненты ActiveX.

Однако пользоваться возможностями данной технологии надо предельно аккуратно. Существует довольно высокая вероятность «подцепить» вирус, разрешив всем сайтам по умолчанию устанавливать приложения ActiveX. Злоумышленники применяют эту технологию для распространения шпионских программ, поэтому нам следует разобраться, как правильно настроить работу данного приложения.

Отключение/включение фильтрации

Как выполнить обновление Интернет Эксплорера

Фильтр элементов ActiveX — блокирует запуск элементов на веб-страницах по заданным в настройках правилам.

Если вы не знаете, как отключить/включить фильтр ActiveX, выполните эту инструкцию: 1. В меню перейдите в раздел «Сервис».

2. Кликом мышки установите или уберите «галочку» в строке «Фильтрация… », соответственно для включения или отключения опции.

Если нужно разрешить запуск элементов на текущей вкладке: 1. В адресной строке щелчком мышки запустите блок настройки — иконку «знак запрета».

2. В открывшемся окне нажмите «Отключить фильтрацию… ». После обновления страницы, та её часть, которая была заблокирована, отобразится.

Плагины к браузерам

Если чего-то нет в браузере, но оно вам очень нужно, выход есть — напишите свой плагин. Основная проблема здесь в том, что если вы хотите, чтобы это работало во всех браузерах, вам придется написать плагин под каждый из них. Есть еще проблема с поддержкой — никто не гарантирует, что ваш плагин будет работать в новой версией браузера (или старой), вспомните ситуацию с FF, когда Mozilla перешла на ускоренный выпуск версий. Ну и еще проблема с тем, что вам этот плагин как минимум придется поставить. Подробнее об этом решении можно найти

Плюсы и минусы

В завершение рассмотрим плюсы и минусы ActiveX для веб-проводника Internet Explorer.

Преимущества:

  1. создание приложений на разных языках;
  2. экономия времени на дополнительную инсталляцию многих программ, ведь все необходимое имеется в Internet Explorer;
  3. включение и отключение проходит в несколько нажатий;
  4. в работе используется множество элементов, применяющих этот фрейм.

Основным недостатком является риск взлома компьютера через плагин. Кроме того, время от времени появляются ошибки, которые можно исправить путем ввода правильных настроек.

Преимущества и недостатки

Основным недостатком технологии является то, что средствами для ее использования владеет только браузерExplorer. А также нет возможности реализации этой технологии в общедоступных сетях всемирной паутины.

Однако есть и достоинства. ActiveX все больше развивается в интрасетях. В Актив Икс представлено очень много управляющих инструментов для решений многих задач, построения полнофункциональных диаграмм, таблиц данных.

Технология в других браузерах

В Опере не поддерживается данная технология. Но есть специальный плагин OperaActiveXplugin, с помощью которого можно установить эту платформу в браузер опера.

Туннель

Относительно новый способ, работает по принципу прокси, основная идея в том, что особым образом сформированный POST-запрос при отправке на сервер проходит через туннель, тот подписывает данные из этого запроса, подставляет подписанные данные в поле запроса вместо данных и все отправляется дальше на сервер и туда уже приходят данные с ЭЦП. Принцип довольно простой, но эффективный. У этого способа имеется

. Подробнее можно почитать

. Чтобы все это работало, на клиенте собственно должен быть установлен этот туннель, хотя можно запустить и с флешки.

Как видите, решения есть, хотя каждое из них имеет определенные ограничения и оговорки, я намеренно не касался таких проблем как работа в различных операционных системах, поддержка ГОСТов, работа на мобильных платформах — здесь проблем еще больше, а ведь это тоже очень важно.

Фильтрация activex

Фильтрация платформы помогает вовремя определить установку подозрительных приложений и запретить обозревателю их использование. Чтобы ее включить необходимо зайти во вкладку «Сервис», выберите пункт «Безопасность», и кликните кнопку «ФильтрацияActiveX».

Если напротив пункта появился флажок, значит вы сделали все правильно. Если вы захотите отключить ее, то также нажмите по этому пункту и флажок исчезнет.

Кроме этого можно убирать фильтр для определенных сайтов. Для этого открываете нужный сайт, кликаете по иконке фильтра. И отключаете фильтр.

Лучшие доступные по цене фаблеты 2020 года

Чем отличается java от актив икс

В принципе, выше мы рассмотрели основные отличия платформы от java апплетов. Дело в том, что решение многих задач средствами Джавы потребовало бы от разработчика приложения огромных сил, в то время как с помощью технологии Active X все решается гораздо быстрее.

Еще одним отличием этой технологии считается то, что роль ActiveX на виртуальной машине Джава, будет выполнять любая Java утилита. Она будет одновременно открыта самостоятельно и в то же время служить одним из компонентов для платформы.

Презентация Apple: подводим итоги

crypto Java openssl stunnel web-разработка гост информационная безопасность криптография плагины электронная подпись эцп
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат