Настройка безопасности в Internet Explorer | КомпьютерПресс

Настройка безопасности в Internet Explorer | КомпьютерПресс Сертификаты

Cookies

Cookies — небольшие текстовые записи, которые сохраняются браузером на компьютере
пользователя по запросу сервера. Эта текстовая информация хранится на компьютере
пользователя в примитивной базе данных до тех пор, пока не будет удалена. Сookies,
в которых хранится история обращений пользователя к конкретному Wеb-серверу,
посылают многие Web-серверы.

Например, владельцам сайта важно знать, сколько человек просмотрело их сайт,
желательно получить информацию, кто пришел на сайт впервые, а кто — повторно.

Данная задача легко может быть решена с помощью технологии cookies. Программное
обеспечение Web-сайта может сгенерировать уникальный ID-номер каждого посетителя
сайта, отослать его пользователю, и он будет храниться на пользовательском компьютере.

При повторном посещении эти данные считываются, и Web-сайт узнает своего посетителя.
В дальнейшем по мере посещения данной странички информация в вашем cookie может
изменяться. При этом следует отметить, что сервер может ассоциировать разные
cookies с различными частями Web-сайта.

Зона интернета

К этой зоне относятся все Web-узлы, которые не имеют отношения к вашему компьютеру
или к иной зоне. По умолчанию для этой зоны назначен средний уровень защиты,
который подходит для большей части узлов Интернета.

Безопасный и одновременно функциональный, он подразумевает, что неподписанные
управляющие элементы ActiveX не загружаются, а перед загрузкой небезопасного
содержимого появляется предупреждение.

Местная интрасеть (местная зона)

Обычно в этой зоне содержатся все адреса, для доступа к которым не требуется
прокси-сервер. Для этой зоны по умолчанию устанавливается средний уровень безопасности.
Таким образом, Internet Explorer будет позволять сохранение на компьютере объектов
cookies с Web-узлов в этой зоне и их чтение Web-узлами, на которых они были
созданы.

Как работают цифровые сертификаты

О

  • сохранению тайны передаваемой информации (запрет доступа к документу неавторизованных
    пользователей);
  • аутентификации корреспондента (предотвращения отказа от совершаемых действий);
  • идентификации корреспондента (подтверждение, что данные действительно
    получены от определенного лица).

Очевидно, что шифрование позволяет решить первую задачу — обеспечить тайну передаваемой
информации, однако на основе шифрования можно решить все три задачи. Наибольшее
распространение получил метод шифрования с помощью ключа, согласно которому
открытый текст комбинируется с цепочкой чисел (ключом) по правилам определенного
(криптографического) алгоритма.

Различают схемы шифрования с помощью симметричного ключа и шифрования с публичным
ключом. Первая схема предполагает, что секретный одинаковый (симметричный) ключ
должен быть установлен на компьютеры и отправителя, и получателя. То есть заранее
необходимо знать, какие компьютеры будут «разговаривать» между собой.

Контроль над cookies в internet explorer

Учитывая неоднозначное отношение к cookies, современные браузеры позволяют осуществлять
контроль за помещением cookies на ваш компьютер. Если вы пользуетесь браузером
Internet Explorer 6.0, то можете определить различную политику использования
cookies при доступе к разным сайтам.

Так, на одной группе сайтов cookies будут
блокироваться, а на другой — нет. При этом следует отметить, что если запретить
сохранение всех файлов cookies для некоторых Web-узлов, то на них нельзя будет
реализовать определенные средства настройки.

Говоря о настройке конфиденциальности в Internet Explorer, следует упомянуть
о стандарте P3P (Platform for Privacy Preferences Project), который поддерживается
в Internet Explorer 6.0. Спецификация P3P разрабатывается консорциумом W3C и
регламентирует, каким образом Интернет-ресурс обрабатывает информацию о пользователях.

P3P помогает пользователям осуществлять контроль над конфиденциальной информацией
при посещении Web-сайтов. К категории конфиденциальной информации, защищаемой
P3P, относятся персональные данные пользователя (имя, e-mail, адрес проживания,
место работы и т.д.), а также сведения об активности пользователя в Интернете,
регистрируемые в файлах cookies.

Надежные узлы

По умолчанию для этой зоны устанавливается низкий уровень безопасности. Internet
Explorer будет позволять сохранение на компьютере объектов cookies с Web-узлов
в этой зоне и их чтение Web-узлами, на которых они были созданы.

Узлы ограниченной надежности

Для этой зоны по умолчанию устанавливается высокий уровень безопасности. Internet
Explorer будет блокировать все объекты cookies с Web-узлов в этой зоне.

Для того чтобы получить отчет о конфиденциальности по тому или иному ресурсу,
выполните команду Вид а Отчет о конфиденциальности, что приведет к появлению
одноименной панели (рис. 14), на которой вы сможете увидеть,
какие cookies были заблокированы на основе ваших параметров конфиденциальности.

Про сертификаты:  Выключатель дифференциального тока ABB 4 модуля F204 АС-63/0,1 2CSF204001R2630 - цена, отзывы, характеристики, фото - купить в Москве и РФ

Настройка ограничений доступа к нежелательным ресурсам

Ерис. 15).

Можно запретить доступ к тематическим группам сайтов или к конкретным сайтам.

В принципе, оградить ребенка от посещения сайтов определенной тематики достаточно
сложно, но если вы знаете конкретные сайты, доступ к которым вы хотите закрыть,
то сделать это значительно проще. В частности, во вкладке Разрешенные узлы вы
можете указать список сайтов, запрещенных к просмотру (рис.
15).

Настройка персональных данных и контроль за ними

Прис.
16
).

Однако если вы не хотите, чтобы вам приходило огромное количество спама, то
личные данные и прежде всего e-mail не следует раздавать всем подряд. Проверьте,
какой режим установлен в вашем браузере. Выполните команду Сервис®Свойства обозревателя®вкладка
Дополнительно®раздел Безопасность.

Обратите также внимание на другие пункты и установите флажки в следующих разделах:
Предупреждать о недействительных сертификатах узлов, Предупреждать о переключении
режима безопасности, Проверять аннулирование сертификатов издателей, Проверять
аннулирование сертификатов серверов (рис. 17).

КомпьютерПресс 3’2003

Система подписанных приложений

Приобретая коробочное ПО, вы обычно не сомневаетесь, что программный продукт,
находящийся внутри, принадлежит производителю. Однако, скачивая продукт из Сети,
вы не можете быть уверены, что поставщик данного ПО является именно тем, за
кого он себя выдает, а скачиваемое ПО не содержит вирусов.

Данная проблема решается путем внедрения в распространяемый продукт кода аутентификации
(Authenticode), позволяющего разработчикам ПО посредством использования цифровой
подписи включать информацию о разработчике в распространяемые программы.

Скачивая ПО, подписанное кодом аутентификации и заверенное центром сертификации,
пользователи могут быть уверены, что данное ПО не было изменено после подписания.

Согласно компонентной модели, такие элементы, как ActiveX- или Java-аплеты,
могут загружаться на ваш компьютер во время обращения на Web-ресурс, например,
для воспроизведения анимации. Для того чтобы исключить загрузку небезопасного
кода, применяется система подписанных приложений.

На основе данной технологии
пользователи могут безбоязненно получать подписанные ActiveX controls, Java-аплеты
и другие приложения. Если пользователь Internet Explorer встретит компонент,
распространяемый без подписи, программа (в зависимости от внутренних настроек
безопасности браузера) либо откажется загрузить такой код, либо выдаст предупреждение
о небезопасном компоненте.

Средства сохранения конфиденциальности в internet explorer

С

Схема шифрования с публичным ключом

Послание можно зашифровать и частным, и публичным ключами, а расшифровать —
только вторым ключом из пары. Таким образом, послание, зашифрованное частным
ключом, можно расшифровать только публичным ключом, и наоборот. Частный ключ
известен только владельцу, и его нельзя никому передавать, в то время как публичный
ключ распространяется открыто для всех корреспондентов.

Схема для первого случая представлена на рис. 1: пользователь
А заранее отсылает публичный ключ своим корреспондентам В и С, а затем отправляет
им сообщение, зашифрованное его частным ключом. Схема показывает, как решается
задача аутентификации.

Схема, обеспечивающая секретность или конфиденциальность, представлена на рис.
2.

Установка корневого сертификата в браузере internet explorer – webmoney wiki

Если при попытке установить защищенное соединение с одним из сервисовWebMoney (например, https://passport.webmoney.ru) в окне браузера Internet Explorer вы видите следующую картинку, то вам необходимо установить корневой сертификат Webmoney.

Настройка безопасности в Internet Explorer | КомпьютерПресс

Для этого загрузите сертификат, сохраните его на жестком диске или запустите с текущего места.

Если вы запустили файл сертификата, то после нажатия кнопки “Установить сертификат…” переходите через начальное окно Мастера импорта сертификатов сразу к выбору хранилища сертификатов (см. далее).

Настройка безопасности в Internet Explorer | КомпьютерПресс

Если вы сохранили сертификат на жестком диске, то в Internet Explorer’е в меню “Настройки” выберите пункт “Свойства обозревателя, а затем в открывшемся окне на вкладке “Содержание” нажмите кнопку “Сертификаты”.

Настройка безопасности в Internet Explorer | КомпьютерПресс

Для установки сертификата перейдите на вкладку “Доверенные корневые центры сертификации” и нажмите кнопку “Импорт…”,

Настройка безопасности в Internet Explorer | КомпьютерПресс

и в открывшемся окне “Мастера импорта сертификатов” кнопку “Далее >”.

Настройка безопасности в Internet Explorer | КомпьютерПресс

Для выбора файла сертификата нажмите кнопку “Обзор..”.

Настройка безопасности в Internet Explorer | КомпьютерПресс

Найдите на жестком диске сохраненный файл сертификата и нажмите кнопку “Открыть”

Настройка безопасности в Internet Explorer | КомпьютерПресс

и затем кнопку “Далее >”.

Настройка безопасности в Internet Explorer | КомпьютерПресс

Обратите внимание, предлагаемое по умолчанию хранилище сертификатов должно совпадать c тем, куда следует поместить корневой сертификат. Если импорт был инициирован из другого раздела хранилища сертификатов, то нужно выбрать по кнопке “Обзор…” хранилище “Доверенные корневые центры сертификации” и нажать кнопку “Далее >”.

Настройка безопасности в Internet Explorer | КомпьютерПресс

Затем следует подтвердить завершение работы мастера, нажав кнопку “Готово”,

Настройка безопасности в Internet Explorer | КомпьютерПресс

следом кнопку “Да”,

Настройка безопасности в Internet Explorer | КомпьютерПресс

и, наконец, кнопку “ОК”.

Настройка безопасности в Internet Explorer | КомпьютерПресс

Для контроля правильности проделанных операций в окне “Сертификаты” откройте вкладку “Доверенные корневые центры сертификации” и в конце списка найдите установленный вами корневой сертификат

Настройка безопасности в Internet Explorer | КомпьютерПресс

и откройте окно информации о сертификате, нажав кнопку “Просмотр”. Убедитесь, что сертификат действителен и его срок действия оканчивается 10.03.2035 г.

Про сертификаты:  Несоответствие имени сертификата |

Настройка безопасности в Internet Explorer | КомпьютерПресс

Закройте все окна и проверьте действие сертификата, установив защищенное соединение с сайтом Центра аттестацииhttps://passport.webmoney.ru.

см. также
Настройка Internet Explorer
Регистрация WM Keeper WebPro в Microsoft Internet Explorer
Импорт сертификата в браузере Internet Explorer
Экспорт сертификата в браузере Internet Explorer

Цифровая подпись

Для того чтобы объяснить, как функционирует цифровая подпись, необходимо ввести
понятие односторонней хеш-функции, то есть функции, преобразующей исходное послание
любой длины в строку символов ограниченной длины (так называемый дайджест послания).

При использовании 16-байтной хеш-функции вы на выходе получите запись длиной
16 байт. Хеширование — это одностороннее, то есть необратимое, в отличие от
шифрования, преобразование. По дайджесту послания нельзя восстановить исходное
сообщение, но можно его однозначно идентифицировать.

Рассмотрим конкретный пример (рис. 3). Пусть А, применив
хеш-функцию, получил дайджест в виде некоего кода, который обозначен как код
1. Затем, используя свой личный ключ, А зашифровывает дайджест, который и становится
аналогом подписи данного документа.

Затем необходимо удостовериться, что послание не было изменено в процессе доставки.

В результате расшифровки В получает дайджест послания — код 1. Затем В, используя
ту же хеш-функцию, что и А, хеширует текст послания и получает дайджест в виде
некоторого кода 2. Если код 1 и код 2 совпадают, то В может сделать вывод о
том, что текст послания не был изменен на этапе доставки.

Таким образом, цифровая подпись, или электронная подпись, — это метод аутентификации
отправителя или автора подписи, подтверждающий, что содержание документа не
было изменено. Цифровая подпись может быть поставлена как в зашифрованном, так
и в открытом послании.

Цифровые сертификаты

При использовании схемы шифрования с открытым ключом вы можете сгенерировать
открытый (публичный) и закрытый (частный) ключи и распространить открытый ключ
вашим корреспондентам или выложить его в Сети на открытом сервере. Однако злоумышленник
может назваться вашим именем и разослать открытый ключ от вашего лица или выложить
его на открытом сервере.

Как определить, кто является истинным владельцем публичного
ключа, а кто мошенником? Для этого нужна третья сторона, которой доверяют все
корреспонденты. С этой задачей справляются центры сертификации CA (Certification
Authority). Они выдают сертификаты — цифровые данные, подписанные цифровой подписью
поручителя, подтверждающие соответствие открытого ключа и информации, идентифицирующей
его владельца.

Сертификат содержит серийный номер, информацию о владельце ключа,
название сертификационного центра, публичный ключ, время, в течение которого
сертификат действителен, и т.д. Каждая копия сертификата имеет цифровую подпись
организации, которая выдала сертификат, так что каждый, кто получит сертификат,
может удостовериться в его подлинности.

Сертификат является неким аналогом удостоверения личности. Общеизвестно, что 
даже при личной встрече проблема идентификации не снимается, именно поэтому
существуют паспорта, водительские удостоверения и т.д. В Сети мы обычно общаемся
с партнером, которого не видим, поэтому удостоверения личности в Сети еще более
необходимы.

Как браузеры реализуют отзыв цифровых сертификатов

В нашем

посте

, посвященном уязвимости Heartbleed, мы указывали, что одной из дополнительных мер безопасности при работе с HTTPS подключением является включенная в браузере опция проверки отозванного цифрового сертификата. Для Heartbleed это особенно актуально, так как после обновления уязвимой версии OpenSSL на сервере, специалистам компании необходимо заново получить новый приватный ключ (SSL/TLS) и сгенерировать новый сертификат, а старый отозвать. Браузеры должны различать подобные ситуации (использования в HTTPS отозванного цифрового сертификата) и уведомлять своих пользователей о том, что используемое ими соединение с сервером уже не является доверенным.

Цифровые сертификаты SSL или TLS используются для привязки криптографического открытого ключа к информации об организации (компании, сервисе и т. д.). Таким образом, будучи выданным центром сертификации (Certification Authority), он гарантирует клиенту этой организации, что используемый открытый ключ шифрования принадлежит именно этой организации. Безопасное HTTPS соединение использует преимущество такой системы шифрования с открытым ключом, при которой сертификаты SSL/TLS, а также закрытый ключ сервера, используются для установки полностью безопасного подключения, которому пользователь может безоговорочно доверять при передаче своих данных.

Ранее уже публиковалась информация о том, что исследователям с использованием уязвимости Heartbleed удалось успешно скомпрометировать такие защищенные сервисы как CloudFlare, OpenVPN, а также, Yahoo mail. Похитив секретный ключ атакующие могут расшифровать данные пользовательских сессий и позднее представиться сервером, при этом пользователь будет думать, что работает с легитимным источником. В таком случае, сам сертификат открытого ключа является скомпрометированным и CA, который выдал сертификат, не может гарантировать, что пользователь работает с настоящим сервером.

Настройка безопасности в Internet Explorer | КомпьютерПресс
Рис. Перевыпущенный Yahoo цифровой сертификат.

Когда на сервере выполнено обновление одной из уязвимых версий OpenSSL до необходимой 1.0.1g, был получен новый сертификат открытого ключа (и соответствующий ему закрытый ключ сервера), старый сертификат отозван, а пользователь сменил пароль на свой аккаунт, он все равно может оставаться уязвим, работая со своим браузером. Мы указывали, что злоумышленники могут позднее использовать похищенный закрытый ключ для того, чтобы представиться сервером или организовать атаку типа Man-in-the-Middle, скомпрометировав таким образом HTTPS. Так может произойти потому, что используемый браузер не обновил информацию об отозванном цифровом сертификате и продолжает считать его доверенным.

Про сертификаты:  Skins

Существуют два основных способа, с помощью которых браузер может проверить информацию о состоянии сертификата (т. е. является ли он действительным или отозванным): протокол получения статуса сертификата (Online Certificate Status Protocol, OCSP) и список отозванных сертификатов (Certificate Revocation List, CRL). Через OCSP клиент может получить информацию от CA о статусе сертификата перед созданием HTTPS подключения с соответствующим сервером. CRL содержит список отозванных цифровых сертификатов, причем этот список кэшируется браузером в процессе работы.

Google Chrome

В феврале 2021 г., Google отключил проверку отозванных цифровых сертификатов для Chrome в новых версиях браузера. Такое решение было обусловлено медленностью и временными задержками, которые необходимы для обработки запроса получения статуса сертификата через OCSP. Проверка статуса занимала около 300 миллисекунд или почти секунду для каждого нового HTTPS подключения. В Google также посчитали, что такая задержка может препятствовать переходу сервисов на использование HTTPS из-за того, что мало кому из их клиентов понравилась бы такая задержка при каждом подключении к серверу (установке нового подключения). Также компания отказалась от постоянного контроля статуса сертификатов, поскольку исследования показали, что большинство сертификатов были отозваны не из-за их компрометации со стороны злоумышленников, а из-за иных административных решений компаний.

Браузер проверяет статус сертификатов с использованием списков отозванных сертификатов CRL (набор CRL), но такая практика связана с кэшированием, и браузер не будет иметь самую свежую информацию об используемых сертификатах. Для того, чтобы включить своевременную проверку цифровых сертификатов перед их использованием в HTTPS, в настройках браузера необходимо установить опцию «Проверять, не отозван ли сертификат сервера». По умолчанию эта опция отключена. Когда эта настройка активирована, браузер будет использовать упоминавшиеся OCSP запросы для проверки статусов сертификатов при попытке установить новое HTTPS подключение. Браузер не позволит пользователю просматривать веб-страницу с отозванным сертификатом, отобразив соответствующее предупреждение.

Настройка безопасности в Internet Explorer | КомпьютерПресс
Рис. Настройка Google Chrome.

Mozilla Firefox

Разработчики Firefox отказались от постоянной проверки статуса сертификатов с использованием списков CRL в последних версиях браузера, вместо этого там используется протокол OCSP, который включен по умолчанию. В то же время, списки CRL в браузере все еще присутствуют и информация для них обновляется на регулярной основе (асинхронно, вне зависимости от устанавливаемых подключений, через т. н. механизм Revocation List Push). Также как и Chrome, Firefox предупреждает пользователя об использовании сервером отозванного сертификата, блокируя таким образом доступ пользователя к запрашиваемой странице. Как видно на скриншоте ниже, браузер содержит опцию «При ошибке соединения с сервером OCSP рассматривать сертификат как недействительный», которая по умолчанию выключена. Таким образом в случае, если запрашиваемый CA недоступен, для проверки статуса сертификата, пользователь получит сообщение об ошибке при работе с любым сертификатом, так как невозможно утверждать является ли он действительным или отозванным.

Настройка безопасности в Internet Explorer | КомпьютерПресс
Рис. Соответствующая опция проверки статуса цифрового сертификата с Mozilla Firefox.

MS Internet Explorer

Поведение браузера зависит от соответствующей версии и используемой ОС. На современных выпусках Windows 7 и Windows 8 Internet Explorer (начиная с 8-й версии) поддерживает проверку сертификатов новых подключений через OCSP, а также использует списки CRL в качестве запасного варианта. По умолчанию для проверки статуса сертификата используется OCSP. Как Google Chrome и Mozilla Firefox, Internet Explorer не разрешает пользователю просматривать веб-страницы, для подключения к которым используется отозванный цифровой сертификат.

Настройка безопасности в Internet Explorer | КомпьютерПресс
Рис. Настройка проверки отозванных сертификатов в IE 8 на Windows 7 (включено по умолчанию).

Apple Safari

Этот браузер не имеет встроенных механизмов проверки отозванных сертификатов. Вместо этого он использует т. н. Apple Keychain Access. Настройки, связанные с проверкой отозванных сертификатов, находятся в меню «Настройки»->«Сертификаты». Настройка «Лучшая попытка» используется для задания проверок сертификатов с помощью проверок OCSP и CRL. По умолчанию проверка сертификатов отключена. В отличие от трех вышеупомянутых браузеров, Safari позволяет пользователю пропустить предупреждение об отозванном сертификате. Для этого пользователю нужно нажать на пункт «Продолжить» в всплывающем окне.

Настройка безопасности в Internet Explorer | КомпьютерПресс

На основе первоисточника: blog.cisecurity.org/how-browsers-handle-certificate-revocation

Оцените статью
Мой сертификат
Добавить комментарий