Exportar (0) Imprimir
Expandir Todos
Expand Minimize

Restrições de Janelas do Internet Explorer

noteNota
O componente do Microsoft Windows Server 2003 Configuração de Segurança Avançada do Internet Explorer (também conhecido como reforço de protecção do Microsoft Internet Explorer) reduz a vulnerabilidade de um servidor a ataques de conteúdo Web através da aplicação de definições de segurança do Internet Explorer mais restritivas, que desactivam scripts, componentes ActiveX e transferências de ficheiros para recursos na zona de segurança Internet. Consequentemente, muitos dos melhoramentos de segurança incluídos na última versão do Internet Explorer só serão notados no Windows Server 2003 Service Pack 1. Por exemplo, as novas funções do Internet Explorer, Barra de Informações e Bloqueador de Janelas de Pop-up, só serão utilizadas se o site estiver numa zona cuja definição de segurança permite scripts. Se não estiver a utilizar a configuração de segurança avançada no servidor, estas funções agirão como no Windows XP Service Pack 2.

Qual a função de Restrições de Janelas?

O Internet Explorer permite que os scripts abram programaticamente janelas adicionais de vários tipos e redimensionem e reposicionem as janelas existentes. A funcionalidade de segurança Restrições de Janelas, anteriormente denominada Atenuação de Fraudes de IU, restringe dois tipos de janelas iniciadas por scripts que foram utilizadas por pessoas mal intencionadas para iludir os utilizadores:

  • As janelas de pop-up em HTML criadas através do método window.createPopup(), a apresentação destas janelas de pop-up em HTML é determinada completamente pelo emissor.
  • Novas janelas com molduras do Internet Explorer (também designadas como "janelas de pop-up") criadas através do método window.open(). Estas novas janelas com molduras podem mostrar ou não os elementos da interface (tais como uma barra de título, barra de estado, barra de endereço, entre outros) dependendo do parâmetro sFeatures da chamada window.open().

A funcionalidade Restrições de Janelas também restringe a movimentação iniciada por scripts da janela com moldura para impedir o reposicionamento ou redimensionamento da janela com moldura de tal modo que os elementos chave ficam fora da área de visualização. Isto afecta os seguintes métodos:

  • moveTo
  • moveBy
  • resizeTo
  • resizeBy

e as seguintes propriedades:

  • Left
  • Top
  • Width
  • Height

A funcionalidade Restrições de Janelas também força a apresentação da barra de estado em todas as janelas criadas através do método window.open().

A quem se aplica esta função?

É necessário que os programadores Web estejam cientes destas novas restrições para planear alterações ou soluções para qualquer impacto possível nos respectivos Web sites.

Os programadores de aplicações devem examinar esta funcionalidade para planear a adopção de alterações nas aplicações. Esta funcionalidade só está activada por predefinição para processos do Internet Explorer. Os programadores terão de registar as aplicações externas ao Internet Explorer para tirar partido das alterações.

Que funcionalidade existente foi alterada no Windows Server 2003 Service Pack 1?

Reposicionamento de scripts de janelas do Internet Explorer

Descrição detalhada

A colocação iniciada por scripts das novas janelas com molduras do Internet Explorer e o posicionamento iniciado por scripts das janelas com molduras existentes são restritas para garantir que os componentes da interface relacionados com a segurança de chaves (as barras de título e de estado, e a barra de endereço se for apresentada) permanecem visíveis após a conclusão da operação.

Os scripts não podem posicionar as janelas de modo a que a barra de título ou a barra de endereços fique acima da parte superior visível do ecrã.

Os scripts não podem posicionar as janelas de modo a que a barra de estado fique abaixo da parte inferior visível do ecrã.

Porque é que esta alteração é importante?

Sem esta alteração, a movimentação das janelas existentes que utilizam os métodos moveTo e moveBy e as propriedades Left e Top, e as novas janelas que são criadas através do método window.open() podem ser chamadas pelos scripts e utilizadas para falsificar uma interface de utilizador ou ambiente de trabalho ou para ocultar actividades ou informações mal intencionadas através de um dos três métodos seguintes:

  • Posicionar a janela de modo a que a barra de título, barra de estado ou barra de endereços fique fora do ecrã.
  • Posicionar a janela de modo a ocultar do utilizador elementos importantes da interface de utilizador.
  • Posicionar a janela de modo a ficar inteiramente fora do ecrã.

As funcionalidades de segurança visíveis das janelas do Internet Explorer fornecem informações ao utilizador para ajudá-lo a determinar a origem da página Web e a segurança das comunicações que utilizam essa página. Quando estes elementos estão ocultos, o utilizador pode pensar que se encontra numa página mais fidedigna ou que está a interagir com um processo do sistema quando, na realidade, está numa interface com um anfitrião mal intencionado. A utilização mal intencionada do reposicionamento das janelas pode apresentar informações falsas ao utilizador, ocultar informações importantes ou, de outro modo, tornar fraudulentos elementos importantes da interface do utilizador numa tentativa de motivar o utilizador a executar acções pouco seguras ou a divulgar informações confidenciais.

O que funciona de maneira diferente?

Esta alteração coloca restrições no posicionamento iniciado por scripts das janelas com molduras existentes do Internet Explorer e nas novas janelas com molduras criadas através da utilização do método window.open(), para garantir que a barra de título e a barra de estado nestas janelas estão sempre visíveis ao utilizador. Os scripts não podem mover uma janela para fora do ecrã, embora o utilizador continue a poder mover uma janela para fora do ecrã. Se mantiver um script que crie janelas fora do ecrã no Internet Explorer, terá de alterar o código.

Como posso resolver estes problemas?

Se o script criar ou mover uma janela para fora do ecrã, deve examinar este requisito e formas alternativas de concretizar o seu objectivo.

Dimensionamento de scripts de janelas do Internet Explorer

Descrição detalhada

As operações de redimensionamento iniciado por scripts nas janelas com molduras do Internet Explorer são restritas para garantir que a barra de título e a barra de estado permanecem visíveis após a conclusão da operação.

Os scripts não podem redimensionar as janelas com molduras existentes ou criar novas janelas com molduras de tal modo que a barra de título, barra de endereço ou barra de estado não fiquem visíveis.

Ao criar uma janela, a definição da especificação fullscreen=yes é alterada para significar "mostrar a janela como maximizada," o que irá manter a barra de título, barra de endereço e barra de estado visíveis.

Porque é que esta alteração é importante?

Sem esta alteração, as janelas com molduras existentes do Internet Explorer podem ser redimensionadas ou podem ser criadas novas janelas com molduras através da utilização do método window.open() e utilizadas para falsificar uma interface de utilizador ou ambiente de trabalho para ocultar actividades ou informações mal intencionadas através do dimensionamento da janela de modo a que a barra de estado não esteja visível.

As janelas do Internet Explorer fornecem informações de segurança visíveis para o utilizador para o ajudar a determinar a origem da página Web e a segurança das comunicações com essa página. Quando estes elementos estão ocultos, o utilizador pode pensar que se encontra numa página mais fidedigna ou que está a interagir com um processo do sistema quando, na realidade, está a interagir com um anfitrião mal intencionado. As utilizações mal intencionadas do dimensionamento das janelas pode ocultar informações importantes relacionadas com a segurança e, de outro modo, tornar fraudulentos elementos importantes da interface do utilizador numa tentativa de motivar o utilizador a executar acções pouco seguras ou a divulgar informações confidenciais.

O que funciona de maneira diferente?

Com esta alteração, existem restrições nas operações de redimensionamento iniciado por scripts nas janelas com molduras existentes do Internet Explorer e no tamanho das novas janelas com molduras criadas através do método window.open() , para garantir que a barra de título e a barra de estado destas janelas estão sempre visíveis ao utilizador. Como resultado, um script não pode abrir uma janela no modo de local público, um modo que não apresenta a barra de título, a barra de endereços e a barra de estado, que apresentam informações de segurança importantes para o utilizador.

O utilizador pode optar por apresentar uma janela no modo de local público. Esta escolha continua a ser possível.

Como posso resolver estes problemas?

As janelas iniciadas por scripts serão apresentadas na totalidade, com a barra de título e a barra de estado do Internet Explorer. O utilizador ou o administrador do site pode alterar manualmente este estado.

Gestão de scripts da barra de estado do Internet Explorer

Descrição detalhada

O Internet Explorer foi modificado para apresentar sempre a barra de estado nas janelas com molduras do Internet Explorer criadas com o window.open()method.

Porque é que esta alteração é importante?

Sem esta alteração, as janelas criadas pelo método window.open() podem ser chamadas por scripts e utilizadas para tornar uma interface do utilizador ou um ambiente de trabalho fraudulento ou para ocultar informações ou actividades erróneas ocultando ao utilizador elementos importantes da interface do utilizador.

A barra de estado é uma funcionalidade de segurança das janelas do Internet Explorer que fornece ao utilizador informações da zona de segurança do Internet Explorer. Não é possível tornar esta zona fraudulenta, além de que permite que o utilizador saiba exactamente em que zona de segurança o conteúdo apresentado se insere. Quando a barra de estado está oculta, o utilizador pode pensar que está numa página mais fidedigna quando, na realidade, está a interagir com um anfitrião mal intencionado.

O que funciona de maneira diferente?

Em todas as janelas criadas através do método window.open(), a barra de estado será apresentada de modo a que a zona de segurança esteja visível para o utilizador. As especificações 'status=no' ou 'status=0' no parâmetro sFeatures do método window.open() são ignoradas. O impacto na aplicação depende da operação efectuada na janela da seguinte forma:

  • Não será necessário modificar as chamadas do método window.open(), uma vez que os valores de largura e altura transmitidos ao parâmetro sFeatures especificam o tamanho da área de conteúdo das janelas e não incluem a barra de título, barra de estado e outros atributos da janela.
  • Poderá ser necessário modificar as chamadas do método resizeTo(), uma vez que os parâmetros do tamanho do método resizeTo() destinam-se à totalidade da janela com molduras do Internet Explorer. A aplicação que criou novas janelas com molduras sem barra de estado através do método windows.open() e redimensionamento subsequente através do método resizeTo() terá de ser modificada tendo em consideração o facto de que as janelas têm agora uma barra de estado.

Posicionamento de janelas de pop-up em HTML do Internet Explorer

Descrição detalhada

Agora, as janelas de pop-up em HTML são restritas de modo a que:

  • Não ultrapassem o limite superior ou inferior da janela de conteúdo a partir da qual foram criadas. A "janela de conteúdo" é o objecto da janela DOM de nível superior da página, visualmente é a área onde o conteúdo em HTML é apresentado e abrange desde o limite inferior do componente mais baixo da interface no tópico da janela com molduras do Internet Explorer (a barra de título, menu, barra de ferramentas ou barra de endereço) até ao início da barra de estado).
  • Não sejam mais altas do que a janela de conteúdo.
  • Se sobreponham horizontalmente à janela de conteúdo.
  • Apareça imediatamente acima da janela de conteúdo, de modo a que outras janelas (tal como uma caixa de diálogo) não fiquem ocultas.
  • Sejam reposicionadas automaticamente para satisfazer as restrições acima se a janela de conteúdo for movida.

Porque é que esta alteração é importante?

As janelas de pop-up são criadas através do método window.createPopup() e também são denominadas como janelas sem contorno uma vez que não têm os componentes de "contorno" do limite, tal como a barra de endereço, a barra de título, a barra de estado e as barras de ferramentas. Sem as restrições descritas anteriormente, estas janelas:

  • Podem ser abertas por cima de uma caixa de diálogo e ocultar ou substituir elementos importantes.
  • Podem ser utilizadas para sobrepor a barra de endereços com um endereço diferente.
  • Podem simular um ambiente de trabalho do Windows de ecrã inteiro com uma caixa de diálogo de palavra-passe.

As janelas inexpressivas sem restrições podem iludir o utilizador de várias formas:

  • Uma janela de pop-up inexpressiva aberta por cima de uma caixa de diálogo pode ocultar ou substituir elementos importantes da caixa de diálogo como, por exemplo, texto de aviso e controlos de selecção ou de acção. (Estes incluem caixas de verificação, botões de opção, etc.) Este procedimento pode instigar o utilizador a uma resposta possivelmente incorrecta ou prejudicial.
  • Uma janela de pop-up inexpressiva pode sobrepor a barra de endereços com um endereço diferente do endereço real da página, dando ao utilizador uma falsa noção de segurança. Do mesmo modo, pode sobrepor a área de notificação do estado, pelo que pode indicar que o Internet Explorer está a apresentar uma página Web segura (que apresenta um URL começado por https://). Assim, o utilizador pode pensar que existe segurança em vigor para a página quando, na realidade, não existe.
  • Uma janela de pop-up inexpressiva pode utilizar o ecrã completo. Com este método, um utilizador mal intencionado pode simular um ambiente de trabalho de Windows em ecrã completo com uma caixa de diálogo de palavra-passe, com um script malicioso que capture as informações de autenticação do utilizador.

O que funciona de maneira diferente?

As janelas de pop-up em HTML estão restritas na horizontal, na vertical e na ordem de posicionamento em cima de outras janelas.

Uma janela de pop-up em HTML tem de aparecer entre os limites superior e inferior do contorno da janela principal, para que não se sobreponha à barra de endereço, barra de título, barra de estado ou barras de ferramentas do Internet Explorer.

Na horizontal, uma janela de pop-up em HTML tem sempre de se sobrepor a uma parte da área da janela principal.

Uma janela de pop-up em HTML tem de ficar imediatamente por cima da janela principal, para que não possa ser posicionada por cima de outras janelas.

Estas restrições podem afectar o aspecto de uma janela de pop-up em HTML se tiver sido concebida para ser apresentada numa área maior ou separada da janela principal. As janelas de pop-up em HTML podem ser reposicionadas e também podem ser truncadas, o que poderá ocultar algumas das informações apresentadas nessa janela.

Como posso resolver estes problemas?

Volte a estruturar a janela de pop-up em HTML para ajustar-se às restrições desta atenuação.

Quais as definições adicionadas ou alteradas no Windows Server 2003 Service Pack 1?

Só existe uma definição para esta funcionalidade. Esta definição activa as Restrições de Janelas ou não as activa. Por uma questão de compatibilidade de aplicações, por predefinição, esta funcionalidade não está activada para processos externos ao Internet Explorer.

Definições de Restrições de Janelas do Internet Explorer

Nome da definição Localização Valor predefinido anterior Valor predefinido Valores possíveis

IExplore.exe

Explorer.exe

Msimn.exe

WMPlayer.exe

HKEY_LOCAL_MACHINE (ou Current User)\Software \Microsoft \Internet Explorer\Main \FeatureControl \FEATURE_WINDOW_RESTRICTIONS\

Não aplicável

1

0 - Inactivo

1 - Activo

Necessito de alterar o código para funcionar com o Windows Server 2003 Service Pack 1?

O script chamará os mesmos métodos para a criação de uma janela do Internet Explorer com expressão ou contorno (utilizando o método window.open()) ou de uma janela de pop-up inexpressiva do Internet Explorer (utilizando o método window.createPopup()). No entanto, poderá ser necessário rever a estrutura para assegurar que as janelas de pop-up ficam visíveis correctamente para o utilizador e que a barra de estado contém informações exactas.

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft