TechNet
Knihovna TechNet

Vynucení práce s rozšířeními MIME aplikace Internet Explorer

notePoznámka
Součást Konfigurace rozšířeného zabezpečení aplikace Internet Explorer systému Microsoft Windows Server 2003 (označovaná také jako zesílení zabezpečení aplikace Microsoft Internet Explorer) zvyšuje odolnost serveru vůči útokům pomocí webového obsahu, protože umožňuje použít přísnější nastavení zabezpečení aplikace Internet Explorer, které zakazuje skripty, součásti ActiveX a stahování souborů ze zdrojů v zóně zabezpečení Internet. Z tohoto důvodu se řada vylepšení zabezpečení zahrnutých do nejnovější verze aplikace Internet Explorer neprojeví v systému Windows Server 2003 Service Pack 1 tak výrazně. Například nové funkce aplikace Internet Explorer, mezi které patří informační panel a blokování automaticky otevíraných oken, nebudou použity, pokud se server nenachází v zóně, jejíž nastavení zabezpečení povoluje skriptování. Jestliže na serveru nepoužíváte rozšířené nastavení zabezpečení, budou tyto funkce pracovat stejně jako v systému Windows XP Service Pack 2.

K čemu slouží vynucení práce s rozšířeními MIME aplikace Internet Explorer?

Aplikace Internet Explorer používá informace typu MIME (Multipurpose Internet Mail Extensions) k rozhodování o tom, jak zacházet se soubory, které byly poslány webovým serverem. Jestliže například existuje žádost protokolu HTTP o soubory typu JPG, jsou tyto soubory při přijetí obvykle zobrazeny uživateli v okně aplikace Internet Explorer. Jestliže Internet Explorer přijme spustitelný soubor, obvykle vyzve uživatele, aby rozhodl, jak se souborem naložit.

Aplikace Internet Explorer bude v systému Windows Server 2003 Service Pack 1 fungovat podle přísnějších pravidel než v systému Windows Server 2003. Tato pravidla jsou navržena tak, aby chránila uživatele před náhodným stažením nebo spuštěním nebezpečného souboru v důsledku zavádějících informací v rozšíření MIME nebo v příponě souboru.

Koho se tato funkce týká?

Vývojáři webových aplikací by tato nová omezení měli mít na paměti a podle toho plánovat změny nebo hledat způsoby, jak tato omezení obejít, aniž by to ovlivnilo jejich webové stránky.

Rovněž vývojáři aplikací by tuto funkci měli prostudovat a odpovídajícím způsobem implementovat změny do svých aplikací. Tato funkce není ve výchozím nastavení povolena pro procesy jiné než procesy aplikace Internet Explorer a vývojáři musí zaregistrovat své aplikace, aby mohli využít výhod těchto změn.

Servery nebo aplikace, které nejsou kompatibilní s těmito přísnějšími pravidly, mohou mít vliv na koncové uživatele.

Jaké nové funkce byly přidány k této funkci v aktualizaci Service Pack 1 systému Windows Server 2003?

Vynucení souhlasu s typem souboru v rozšíření MIME

Podrobný popis

Když jsou soubory předkládány klientovi, aplikace Internet Explorer používá k rozhodnutí o tom, jak se soubory naložit, následující informace:

  • příponu souboru, odpovídající identifikátor ProgID a identifikátor CLSID pro registrovaný popisovač této přípony souboru,
  • typ obsahu z hlavičky HTTP (typ MIME), odpovídající identifikátor ProgID a identifikátor CLSID pro registrovaný popisovač tohoto typu obsahu neboli typu MIME,
  • dispozici na základě obsahu z hlavičky protokolu HTTP,
  • výsledky analýzy rozšíření MIME.

Aplikace Internet Explorer nyní uplatňuje více omezení, pokud jde o spuštění staženého souboru, který by mohl být nebezpečný, než jak tomu bylo v systému Windows Server 2003.

Aplikace Internet Explorer bude vynucovat souhlas mezi způsobem, jakým je se souborem nakládáno v prohlížeči, a způsobem, jakým je s ním nakládáno v prostředí systému Windows. Když je soubor stažen do mezipaměti, porovná aplikace Internet Explorer typ rozšíření MIME souboru v mezipaměti s příponou tohoto souboru. Je-li mezi typem rozšíření MIME a příponou souboru zjištěna neshoda, pokusí se aplikace Internet Explorer tuto neshodu urovnat přejmenováním souboru v mezipaměti.

Než je soubor zaveden do popisovače MIME nebo je spuštěn popisovačem přípony, porovná aplikace Internet Explorer identifikátory CLSID popisovače MIME a popisovače přípony. Je-li i nadále mezi těmito dvěma popisovači neshoda, zobrazí aplikace Internet Explorer uživateli povinný dotaz, zda chce soubor zavést do popisovače MIME. Jestliže popisovač MIME odmítne neshodný soubor, zobrazí aplikace dialogové okno chyby stahování a nespustí soubor automaticky v popisovači přípony prostředí systému Windows, avšak dialogové okno umožní uložení souboru.

Podobná, ale samostatná změna také zabraňuje spuštění potenciálně poškozených souborů v popisovačích přípony v jejich prostředí. Aplikace Internet Explorer zobrazí dialogové okno chyby stahování pro každý soubor, který je odmítnut svým popisovačem MIME s chybovým kódem E_Cannot_Load_Data, a nespustí tento soubor v popisovači přípony bez ohledu na typ MIME nebo typ přípony souboru.

Tyto změny nemají vliv na případy, kdy je pro soubor použita hlavička protokolu HTTP "Content-disposition=attachment". V těchto případech jsou název souboru nebo jeho přípona navrhované serverem považovány za konečné a soubor je možné spustit bez ohledu na neshodu mezi rozšířením MIME a příponou, jestliže se uživatel rozhodne přijmout výzvu ke stažení souboru.

Proč je tato změna důležitá?

Je-li informace o typu souboru hlášena serverem nesprávně a tato informace se uloží do počítače, nebezpečný soubor by mohl být později nesprávně spuštěn. Aplikace Internet Explorer například může stáhnout soubor, který se jeví jako textový soubor. Jestliže soubor nemůže být zaveden svým popisovačem MIME a má příponu souboru DOC, soubor DOC by se mohl spustit v aplikaci, jako je Microsoft Word, bez dotázání uživatele. V aplikaci Microsoft Word může být soubor schopen použít aktivní obsah, například makro, ke spuštění programu (například viru) v počítači uživatele.

Co funguje jinak?

Aplikace Internet Explorer se nyní bude pokoušet změnit název stažených souborů ve své mezipaměti tak, aby obsah souborů souhlasil s příponami a uživatelé byli chráněni před soubory se zavádějícími příponami.

Aplikace Internet Explorer vyzve uživatele ke stažení souboru a nebude již spouštět soubory s neshodou rozšíření MIME a přípony, které jsou odmítnuty registrovaným popisovačem MIME.

Aplikace Internet Explorer rovněž nespustí soubor v jeho popisovači v prostředí Windows, jestliže byl jeho popisovačem MIME hlášen chybový kód E_Cannot_Load_Data.

Aplikace Internet Explorer nespustí takový soubor v popisovači prostředí, ale zobrazí chybové dialogové okno a umožní uživateli, aby soubor uložil.

Vývojáři webu mohou díky tomuto chování izolovat nefunkční aplikace vypnutím funkcí, jak je popsáno v části Nastavení dále v tomto dokumentu.

Jak tyto problémy vyřešit?

Vývojáři webu musí změnit hostitelské soubory na svých webových serverech použitím konzistentních hlaviček odpovídajících obsahu a konzistentních přípon souborů. Jestliže to není možné, mohou vývojáři webu použít hlavičku HTTP "Content-disposition=attachment" k přímému odeslání souboru k popisovači přípony místo k popisovači MIME. Všimněte si, že stažené soubory s hlavičkou "Content-disposition=attachment" vyšlou uživateli dotaz, zda má být soubor otevřen nebo uložen.

Jestliže jste vyvinuli popisovač MIME a vědomě spoléháte na to, že aplikace Internet Explorer spustí soubory, které váš popisovač MIME odmítá, budete muset ve svém popisovači MIME provést změny zajišťující přizpůsobení této změně. Nejbezpečnější změna by spočívala v nativním zpracování souboru přímo v popisovači MIME místo odmítnutí souboru.

U některých scénářů nemusí být možné změnit chování popisovače MIME na nativní zpracování stažených souborů. V takových scénářích existuje několik možností.

Můžete se rozhodnout vyvinout popisovač MIME a popisovač přípony souboru, které jsou v obou případech součástí téhož identifikátoru CLSID – aplikace Internet Explorer přijme shodu s tímto identifikátorem CLSID, a tudíž nebude klást uživateli dotaz, zda se má soubor stáhnout nebo zda se má blokovat jeho spuštění v popisovači přípony souboru.

Jestliže popisovač MIME nemusí být zaváděn a bude způsobovat chyby v důsledku neshody MIME a přípony, vývojář může označit popisovač MIME tak, aby byl aplikací Internet Explorer v případě neshody rozšíření MIME a přípony ignorován. Jestliže například popisovač MIME pro typ MIME určitého média vykazuje neshodu a pro správné přehrávání je třeba jej spustit přímo, může vývojář označit identifikátor ProgID jeho popisovače MIME tak, aby byl při neshodě ignorován, pokud přípona souboru média patří do jiného identifikátoru ProgID. To provede tak, že v registru nastaví následující hodnotu pro ignorování popisovače MIME:

HKEY_CLASSES_ROOT\PROG_ID_OF_MIMEHANDLER_TO_IGNORE\"PreferExecuteOnMismatch"=DWORD:00000001

Není-li žádné z těchto řešení proveditelné, měli by vývojáři uživatele upozornit na nekompatibilitu a vysvětlit jim, jak mají soubory s neshodou ukládat do systému souborů a spouštět je potom ručně.

Je-li váš scénář ovlivňován nechtěnými výzvami ke stahování souborů v důsledku neopravitelné neshody mezi rozšířením MIME a příponou souboru, můžete identifikátor ProgID svého popisovače MIME zaregistrovat k obcházení všech výzev ke stažení včetně nové výzvy při neshodě.

Než to provedete, měli byste se ujistit, že váš popisovač MIME je schopen bezpečně pracovat s jakýmkoliv souborem, který je mu přidělen. Například byste se měli ujistit, že by váš popisovač nikdy nedovolil útočníkovi získat větší oprávnění, než jaké dovoluje zóna původního souboru. To lze provést modelováním ohrožení, kontrolou kódu pro bezpečné chybové režimy a přetečení vyrovnávací paměti. Ověříte-li si, že váš popisovač MIME je schopen bezpečně pracovat s každým souborem, který by mu mohl být přidělen, můžete svůj popisovač zaregistrovat k obcházení výzev ke stažení přidáním nového klíče do jednoho z následujících nastavení registru:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Secure_Mime_Handlers 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Secure_Mime_Handlers

Klíč by měl být pojmenován identifikátorem ProgID vašeho popisovače MIME a mít hodnotu DWORD=00000001.

Zvýšení typu souboru analýzou rozšíření MIME

Podrobný popis

Jedním ze záložních kritérií pro určení typu souboru je výsledek analýzy MIME. Prozkoumáním (analýzou) souboru může aplikace Internet Explorer rozpoznávat bitové podpisy určitých typů souborů. V systému Windows Server 2003 Service Pack 1 se analýzou MIME prováděnou aplikací Internet Explorer v zóně Servery s omezeným přístupem nepovyšují soubory typu text\prostý na nebezpečnější typy souborů. Například soubory přijaté jako prostý text, které však obsahují kód HTML, nebudou povýšeny na typ HTML, který by mohl obsahovat aktivní obsah.

Proč je tato změna důležitá?

Tato změna poskytuje uživatelům další prostředek hloubkové obrany před nebezpečným obsahem obsaženým na přátelském webovém serveru, přičemž server obsluhuje soubory s typem obsahu = text\plain, avšak útočníkovi se podařilo zavést do určitého souboru kód HTML s aktivním obsahem.

Co funguje jinak?

Webové servery, které do svých souborů nezahrnují správnou hlavičku typu obsahu a které používají nestandardní přípony souborů pro stránky HTML, nyní mohou své stránky nechat uznávat za prostý text místo za HTML.

Jak tyto problémy vyřešit?

Měli byste nakonfigurovat webové servery tak, aby používaly správné hlavičky typu obsahu, nebo můžete dávat souborům název s příponou odpovídající aplikaci, která by měla se souborem pracovat.

Jaké nastavení bylo přidáno nebo se změnilo v aktualizaci Service Pack 1 systému Windows Server 2003?

 

Název nastavení Umístění Předchozí výchozí hodnota Výchozí hodnota Možné hodnoty

IExplore.exe

Explorer.exe

HKEY_LOCAL_MACHINE(nebo Current User)\Software \Microsoft \Internet Explorer\Main \FeatureControl \FEATURE_MIME_HANDLING\

Žádná

1

0 - Vypnuto

1 - Zapnuto

IExplore.exe

Explorer.exe

HKEY_LOCAL_MACHINE(nebo Current User)\Software \Microsoft \Internet Explorer\Main \FeatureControl\FEATURE_MIME_SNIFFING\

Žádná

1

0 - Vypnuto

1 - Zapnuto

Nastavení chování na základě analýzy MIME podle zón

Nové omezení analýzy MIME je řízeno nastavením zabezpečení Otevírat soubory podle obsahu, ne podle přípony souboru, které je možné povolit nebo zakázat pro jednotlivé zóny zabezpečení. V následující tabulce je uvedeno výchozí nastavení pro jednotlivé zóny zabezpečení:

 

Zóna zabezpečení Otevírat soubory podle obsahu, ne podle přípony souboru Výchozí nastavení zabezpečení

Zóna Servery s omezeným přístupem

Zakázat

Zóna Internet

Povolit

Zóna Místní intranet

Povolit

Zóna Důvěryhodné servery

Povolit

Je nutné změnit kód, aby bylo možné pracovat se systémem Windows Server 2003 s aktualizací Service Pack 1?

Webové servery by se měly nakonfigurovat tak, aby používaly správné hlavičky typu obsahu. Je také možné dávat souborům názvy s příponou odpovídající aplikaci, která by se souborem měla pracovat.

Obsah vytvořený komunitou

Zobrazit:
© 2016 Microsoft