Понимание интернет-безопасности IE


1

Этот вопрос связан с моим постом https://stackoverflow.com/questions/13721254/downloading-file-and-internet-security-issue однако это более абстрактно.

Учтите следующее:

Сайт "www.example.com" добавлен в зону доверия.

  1. Перейдите на веб-сайт с помощью Internet Explorer, загрузите файл (без проблем)
  2. запустить приложение от имени администратора, приложение перейдет на веб-сайт, загрузить файл (Windows Internet Explorer заблокировал загрузку этого сайта)

В чем разница между 1 и 2? Для меня Internet Explorer работает под правами администратора и приложения. Тогда почему Internet Explorer блокирует загрузку файла через приложение?

Ответы:


1

С одной стороны, прикладной уровень здесь добавляет дополнительный уровень риска.

В варианте № 1 для изменения самого файла потенциальный злоумышленник должен иметь доступ к вашей структуре данных.

В варианте № 2 злоумышленник может также навредить вам, изменив само приложение (внедрив его так, чтобы вместо этого вы отправили неверный / вредоносный файл), что несколько проще, чем получить полный доступ к файлам веб-сайтов. (вообще говоря)

Я понимаю вашу точку зрения. Конечно, оба варианта несколько рискованны, но второй просто более «склонен к хакерам».

В конце концов, это сводится к управлению рисками и расчетным шансам.

Наконец, для исполняемых файлов IE должен предоставить предупреждение - так или иначе.

Я перестал использовать IE несколько лет назад, так что, может быть, я ошибаюсь по этому поводу ... Тем не менее, FF и Chrome будут предупреждать вас, даже если это «просто» PDF.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.