ב-Online
 
 
 
 
 
 
 
 
מאבטחים את האקספלורר 

מאבטחים את האקספלורר

 
 
רן יניב הרטשטיין

הדפדפן הפופולרי מבית מיקרוסופט לא חייב להיות פרוץ ומסוכן כל כך. רן יניב הרטשטיין ילמד אתכם כיצד להפוך את אינטרנט אקספלורר לדפדפן בטוח יותר

 
 
 
 
 
 
 
 
 
 
כולנו יודעים שאינטרנט אקספלורר הוא לא דפדפן בטוח. אחרי שנים ארוכות של כותרות וידיעות אודות פרצות האבטחה בדפדפן של מיקרוסופט וכל הרושעות השונות שיכולות לחדור למחשבים שלנו דרכן, שימוש באינטרנט אקספלורר בתור הדפדפן הקבוע היא החלטה מודעת להימצא במצב סכנה מתמיד. האלטרנטיבות המצוינות לאקספלורר, ובראשן פיירפוקס, זכו לתשומת לב חיובית והצלחה רבה כל כך בעיקר בגלל שהן חסכו ממשתמשיהן את הצורך לחשוב פעמיים ושלוש פעמים על כל לינק עליו הם לוחצים ולחשוש ממה שנמצא מאחוריו.

המלצתנו הרשמית בכל סוגיה שקשורה לרשת היא תמיד להשתמש בפיירפוקס, אבל העניינים בדרך כלל לא כאלה פשוטים. מפתחים חסרי ניסיון רבים מקימים אתרים במסורות פיתוח שהיו מקובלות לפני חמש ואפילו עשר שנים, לפני שהתגבשו תקנים מקובלים בהם תומכים רוב הדפדפנים החדשים שיצאו לאחרונה. בישראל נפוצה במיוחד גישת הפיתוח הזו, וחלק גדול מהאתרים לא פועלים כהלכה מחוץ לאינטרנט אקספלורר, שלא עבר עדכון משמעותי מזה חמש שנים.

המצב שנוצר הוא שבשביל לגלוש באתרים רבים, ובמיוחד אתרי מסחר ושירותים, חייבים להיכנס לאינטרנט אקספלורר. ישנן גם מערכות משרדיות רבות לגישה לדואר אלקטרוני ומערכות לניהול תוכן שעובדות רק מתוך אינטרנט אקספלורר, ומי שמשתמשים בכלים כאלה בדרך כלל נדרשים להשתמש בהם פעמים רבות ביום. לכן, גולשים רבים פשוט בוחרים להשתמש רק באינטרנט אקספלורר וזהו. אם אתם אחד מהגולשים הללו, ואתם מודאגים מרמת האבטחה הלקויה של הדפדפן שלכם, במדריך זה נציע לכם שיטה אפשרית אחת לחיזוק טבעת ההגנה סביבו, ובכך להקטין משמעותית את הסיכויים לחדירת רכיבי רושעה למחשבכם.
 

זן ואמנות אבטחת הדפדפן

הדרך הטובה ביותר להגן על המחשב שלנו תהיה לנתק אותו מהרשת וליתר ביטחון גם מחיבור החשמל, אבל נצטרך לוותר על יותר מדי דברים בדרך. שם המשחק באבטחת מידע הוא פשרות – אנו נדרשים תמיד להתפשר בין אבטחה מרבית לבין נוחות מרבית, ואנו חייבים תמיד לבחון מחדש את ההחלטות שלנו. עד לא מזמן, נקודת המוצא הבסיסית בכל הקשור לאבטחת מידע במיקרוסופט הייתה שנוחות תמיד חשובה יותר מאבטחה, וכך ניתן להסביר את המצב העגום בו נמצאים משתמשי אקספלורר רבים כל כך. אפילו מאז התיקונים הנרחבים שנוספו ב–Service Pack 2, אינטרנט אקספלורר הוא עדיין דפדפן פרוץ מדי.

את רוב בעיות האבטחה של אינטרנט אקספלורר (ושל כל יישום אחר) אפשר לחלק לשניים. חלק לא מבוטל מהבעיות מקורן בטעויות שעשו המתכנתים עם קוד המקור של הדפדפן, שהובילו לבאגים ופרצות אבטחה אותם יכלו המפתחים של רכיבים זדוניים לנצל. אבל בעיות אבטחה אחרות הן תוצאה של מדיניות לקויה, שנבעה מהגישה הכללית במיקרוסופט שהעדיפה נוחות שימוש על פני אבטחה. לדוגמה, האפשרות להריץ יישומים שלמים באמצעות ActiveX דרך הדפדפן היא מדיניות בעייתית מנקודת מבט של אבטחה, מכיוון שאין כל הפרדה או שכבת הגנה בין היישום למחשב. בעיות אבטחה שקשורות למדיניות הן בדרך חמורות יותר בהשלכותיהן מפרצות ובאגים, מכיוון שהרבה יותר קשה לטפל בהן. צריך קודם כל להכיר בהן כטעויות, ועד אז הן כבר נעשות מובנות מאליהן, והמשתמשים הופכים תלויים בהם.

אינטרנט אקספלורר סובל משילוב קטלני של פרצות אבטחה קריטיות ומדיניות אבטחה מתירנית, ו–ActiveX היא רק דוגמה אחת. גם שפות תכנות כמו JavaScript ו-VBScript, שמשמשות בדרך כלל לביצוע משימות פשוטות יותר מאשר יישומי ActiveX, מהוות סיכון אבטחה. אם תהיתם פעם איך מגיעים למחשב שלכם כל כך הרבה רכיבי רושעה בלי שהתקנתם שום דבר, סביר להניח ש–ActiveX הוא האשם העיקרי בכך. כדי להפוך את אינטרנט אקספלורר לדפדפן בטוח יותר, יש לתקן את מדיניות ברירת המחדל של מיקרוסופט, ולמנוע ממנו להפעיל כל פיסת קוד אקראית בה הוא נתקל.
 

שבירת האיזון העדין

בבואנו לתקן את מדיניות האבטחה של אינטרנט אקספלורר בעצמנו, אנו נתקלים באותה הדילמה שעומדת מול מיקרוסופט ומונעת ממנה לעשות את התיקון הזה בעצמה. כמעט כל אתר אינטרנט עושה שימוש בתכנים אקטיביים מסוג כזה או אחר, ובמקרים רבים האתר תלוי בקוד JavaScript או VBScript ולא יוכל לפעול בלעדיו. אם נמנע מהדפדפן מלהפעיל את הקוד הזה, חווית הגלישה שלנו תספוג פגיעה קטלנית. לכן, אנו צריכים למצוא פתרון ביניים, שיאפשר להפעיל קוד רק באתרים מסוימים.

מנגנון האבטחה של אינטרנט אקספלורר ערוך לספק לנו פתרון לבעיה זו בדיוק, ולאפשר להגדיר מדיניות אבטחה שונה עבור אתרים שונים. כך, נוכל לומר שאנו בוטחים באתרים מסוימים, כמו Gmail או האתר של הבנק שלנו, ולא בוטחים באתרים אחרים שאנחנו לא מכירים. ההבחנה בין אתר בטוח לאתר מסוכן היא קצת בעייתית, אבל ברוב המקרים תוכלו לסמוך על האינסטינקטים שלכם. לדוגמה, אתרים רבים שעוסקים בתכנים מפוקפקים, כמו אתרי פורנו או אתרי קזינו והימורים, לא בוחלים גם בפעילות לא כשירה במובהק, כמו החדרת רוגלות ורושעות למחשבי הגולשים בהם.

כדי ליישם את מדיניות האבטחה החדשה שלנו, ננקוט בגישה הפוכה מזו המקובלת בדרך כלל במקרים כאלה. במקום ליצור רשימה של אתרים חסומים ולהחליט שאנו בוטחים בכל האתרים האחרים ברשת, אנו נבחר לחסום פעילויות מסוכנות בכל האתרים ברשת, וניצור רשימה קצרה של אתרים בהם אנו בוטחים ורוצים לגלוש ללא מגבלות.

אם זה נשמע לכם כמו טרחה גדולה, אתם לא טועים – תצטרכו להקדיש הרבה זמן ומאמץ כדי להמשיך לגלוש בצורה הזו. כמעט בכל פעם שתכנסו לאתר חדש, תצטרכו להחליט אם אתם סומכים עליו או לא, ולהכניס אותו ידנית לרשימת האתרים הבטוחים. התמורה שתקבלו להשקעה הזו הוא בטחון רב יותר בדפדפן שלכם ובטווח הארוך גם פרטיות טובה יותר ומחשב מהיר ויציב יותר, כי המחשב שלכם כבר לא יהיה חשוף כמו בעבר לרכיבי רושעה.
 
 

האזור המפורז

אזורי האבטחה באינטרנט אקספלורר
 אזורי האבטחה באינטרנט אקספלורר   
על מנת להתחיל לקבוע את מדיניות האבטחה של אינטרנט אקספלורר, פתחו אותו, בחרו את האפשרות Internet Options (אפשרויות אינטרנט) בתפריט Tools (כלים), ועברו ללשונית Security (אבטחה). הגדרות האבטחה מחלקות את הרשת לארבעה אזורים דמיוניים. האזור הראשון, Internet (אינטרנט), הוא האזור בו נמצאים כל האתרים, וההגדרות שתקבעו עבורו תהיינה ברירות המחדל. שלושת האזורים האחרים מאפשרים לקבוע יוצאי דופן לברירות המחדל הללו, בשלוש רמות אבטחה שונות - Local Intranet (רשת פנימית) עבור אתרים ברשת הפנימית, אתרים בטוחים (Trusted), ואתרים מוגבלים (Restricted). לכל אזור יש רשימת אתרים השייכים אליו, ועל אתרים אלו תחול מדיניות האבטחה של אותו האזור, ולא ברירות המחדל של איזור האינטרנט הכללי.

ההבחנה הסמנטית בין אתרים בטוחים לאתרים לא בטוחים אינה מובנת מאליה, וצריך להסביר לאינטרנט אקספלורר באופן פרטני מה בדיוק מותר לאתרים מכל סוג לעשות. המטרה היא להגדיר מדיניות אבטחה סגורה ככל האפשר עבור אזור ברירת המחדל – Internet, ומדיניות מתירנית יותר עבור אתרים באזור הבטוח – Trusted.

את מדיניות האבטחה ניתן לקבוע באחת משתי דרכים. ניתן לקבוע ידנית את כללי ההתנהגות של הדפדפן בעשרות מצבים קבועים מראש, וכך לזכות לרמת השליטה הדקדקנית ביותר. אבל תהליך קבלת ההחלטות המעורב בקביעת מדיניות אבטחה ידנית הוא טרחני, ומצריך הבנה מעמיקה למדי של הסוגיות השונות העומדות על הפרק. כדי לקבל דוגמה למידת הפרטנות שתדרשו לה, בחרו את האזור עבורו אתם רוצים לקבוע את המדיניות ולחצו על Custom Level (התאמה אישית).

גישה מעשית ופשוטה יותר עושה שימוש בברירות המחדל של אינטרנט אקספלורר. במקום לקבוע כל פריט ופריט ממדיניות האבטחה באופן ידני, תוכלו להשתמש בסליידר בשביל לבחור מדיניות אבטחה קבועה מראש – ברירת המחדל היא Medium (בינוני), אבל אנחנו נעביר אותה ל–High (גבוה) עבור האזור Internet (אינטרנט). אם הסליידר לא מופיע, לחצו על Default Level (רמת ברירת מחדל).

לאחר מכן, כדאי לעבור על מדיניות האבטחה על ידי לחיצה על Custom Level (התאמה אישית), ולוודא שההגדרה של מיקרוסופט לאבטחה גבוהה תואמת לדרישות שלנו. שימו לב שכמעט כל הפריטים ברשימה מכוונים להגדרה Disable (מבוטל).
 

אתרים בטוחים

הוספת אתרים בטוחים
 הוספת אתרים בטוחים   
אחרי שתקבעו את הגדרות האבטחה המחמירות ביותר עבור האזור Internet, הדבר הראשון שתשימו לב אליו הוא שרוב האתרים יפסיקו לעבוד. הסיבה לכך היא שכמעט כל אתר ברשת מסתמך במידה כזו אחרת על הרצת קוד על הדפדפן – אפילו אם הדבר לא הכרחי לפעולה שלו. מפתחי אתרים מנומסים דואגים לכך שהאתרים שלהם יפעלו כהלכה גם בלי להריץ קוד בדפדפן, אבל על רוב האתרים ברשת לא עובדים מפתחים מנומסים במיוחד.

לכן, אנו זקוקים לאזור אבטחה נוסף, שעבורו נגדיר מדיניות אבטחה אחרת – כזו שתאפשר להריץ קוד בדפדפן, ותתיר לנו לגלוש בכל האתרים שאנחנו מכירים. האזור Trusted Sites ישמש אותנו למטרה זו, ועבורו נבחר את רמת האבטחה Medium , שמציעה פשרה סבירה בין אבטחה לנוחות גלישה. מדיניות האבטחה הזו תכנס לפעולה רק באתרים שנכניס לאזור Trusted Sites, ולכן כדאי לסנן בקפידה את רשימת האתרים הזו. כדי להתחיל להוסיף אתרים לרשימה, בחרו את Trusted Sites ולחצו על Sites... (אתרים).

כברירת מחדל, יתכן שרשימה זו כוללת כבר מספר אתרים, כמו microsoft.com. כדי להוסיף אתרים לרשימה, רשמו את כתובתם (בלי http://‎) בשורה הראשונה ולחצו על Add (הוסף). כדי לקצר את תהליך הוספת האתרים, תוכלו להשתמש בתו * (כוכבית), שתפקידו דומה לקלף הג‘וקר במשחקי קלפים – הוא יכול להחליף את מקומו של כל קלף אחר. לכן, אם נוסיף את הכתובת "‎*.nana10.co.il", הדפדפן יתייחס גם לאתרים net.nana10.co.il ו–mymoney.nana10.co.il בתור אתרים בטוחים. עם זאת, שימו לב שהכוכבית חייבת להיות מופרדת משאר הכתובת בנקודה. אחרת, הכתובת "‎*nana.co.il" תוסיף גם את האתר banana.co.il וכל אתר אחר שכתובתו מסתיימת באותיות nana. זכרו שלא כל אתר שאתם גולשים בו חייב להיות ברשימה הזו – כדאי לבדוק קודם כל אם האתר לא עובד גם עם הגדרות האבטחה המחמירות.
 

תחזוקה שוטפת

האזור הנוכחי
 האזור הנוכחי   
אחרי שתוסיפו לרשימת האתרים הבטוחים את כל האתרים בהם אתם מבקרים לעיתים קרובות, תוכלו להמשיך לגלוש פחות או יותר כרגיל. אבל במוקדם או במאוחר, תתקלו באתר שלא ממש עובד כמו שצריך. במקרה כזה, תצטרכו להפעיל את שיקול דעתכם ולהחליט אם אתם סומכים עליו או לא. אין שום דרך וודאית לדעת אם אתר מסוים הוא זדוני או לא, אבל יש כמה כללי אצבע שימושיים שאפשר לקחת בחשבון. כאמור, אתרים שעוסקים בתכנים מפוקפקים, כמו הימורים או פורנוגרפיה, אבל גם תוכנות לא חוקיות, וירוסים ותולעים, או מכירת תרופות ללא מרשם, הם בדרך כלל מסוכנים יותר מאתרים אחרים.

עבור כל אתר שתבקרו בו, האזור בו הוא נמצא יופיע בשורת המצב בצד ימין. אפשר להשתמש במחוון זה כקיצור דרך לפתיחת הגדרות האבטחה, כדי להוסיף ולהסיר בקלות אתרים מרשימת האתרים הבטוחים. אם תבקרו באתר שאתם רוצים להוסיף לרשימת האתרים הבטוחים, העתיקו את כתובתו ולחצו פעמיים על סמל האזור שלו. תיבת הגדרות האבטחה תפתח ותוכלו להמשיך להוסיף את האתר לפי ההוראות למעלה. רצוי להעתיק את כתובת האתר ולא להקליד אותה ידנית – כך יש פחות סיכוי לטעויות.
 

פשרות

אחרי מספר שעות או ימים במהלכם תתרכזו יותר בדירוג רמת האבטחה באתרים ופחות בגלישה של ממש, רשימת האתרים הבטוחים שלכם תתייצב ורוב האתרים בהם אתם מבקרים תדיר כבר ימצאו בה. אלא אם כן אתם נוהגים לבדוק באופן קבוע ישומי רשת חדשים, סביר להניח שמדיניות האבטחה החדשה לא תטריד אתכם יותר מדי בגלישה היום-יומית שלכם.

אבל אפילו אחרי שתחסמו כל פתח אפשרי ממנו יכלו להזדחל למחשבכם תולעים ורושעות אחרות, כדאי לזכור שאתם עדיין משתמשים בדפדפן אינטרנט פרוץ על גבי מערכת הפעלה פרוצה. לקחנו את החוק לידיים שלנו ותיקנו את מדיניות האבטחה הלקויה שמיקרוסופט לא יכלה לתקן בעצמה, אבל קיימות עדיין אינספור פרצות אבטחה ובאגים אליהם נותרנו חשופים.

למרות השיפור המשמעותי שעשינו, פיירפוקס ודפדפנים אחרים עדיין יהיו בטוחים יותר מאינטרנט אקספלורר. אל תנצלו את שיפור האבטחה של אינטרנט אקספלורר כתירוץ להתנהגות חסרת אחריות. הנחתם עתה רק עוד לבנה אחת בחומת האבטחה שלכם. אתם עדיין לא בלתי פגיעים.
 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 
תגובות
הוסף תגובה0 תגובות
הוספת תגובה
מאת
 
נושא
 
תוכן
 
 
 
 
תודה! תגובתך התקבלה.
התגובה תתפרסם בכפוף לתנאי האתר.
 
 
 
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by