ActiveX控件与IE7安全分析

最新推荐文章于 2016-04-12 10:35:04 发布
最新推荐文章于 2016-04-12 10:35:04 发布
阅读量1.2k 收藏
点赞数
文章标签: ie xmlhttprequest 脚本 scripting initialization internet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stone_kingnet/article/details/2998022
版权

http://www.solnet.cn/showart.asp?id=6
http://support.microsoft.com/kb/161873/en-us
http://www.microsoft.com/china/MSDN/library/NetComm/ActiveX+Security.mspx?mfr=true

都说ActiveX危险,那么为什么XmlHttpRequest以及MediaPlayer都是用ActiveX的方式创建的,却没有问题?原来,这是因为这些ActiveX组件都声明自己是脚本安全的,
而IE的中级安全设置上,是允许脚本安全的ActiveX创建,并且不予警告的。

IE怎么知道一个插件是脚本安全的?它是通过以下两个办法。
一是查询ActiveX组件是否实现了IObjectSafety接口,并且返回脚本安全;
二是查询ActiveX组件是否在注册表的Component Category Manager里表明自己实现了CATID_SafeForInitializing和CATID_SafeForScripting。


详情请参见MSDN的文章:

About IObject Safety Extensions for Internet Explorer(http://msdn2.microsoft.com/EN-US/library/aa768181.aspx)

Safe Initialization and Scripting for ActiveX Controls(http://msdn2.microsoft.com/EN-US/library/aa751977.aspx)


一个ActiveX组件不能随随便便的把自己声明为脚本安全的,万一被人利用了咋办?因为只要在系统中注册了,任何网站都可以使用该ActiveX组件,有可能为做出损害用户利益的事情来。所以,作为一个负责任的开发者,在把自己的ActiveX组件声明为脚本安全以前,一定要再三思考,有没有可能被别人恶意使用?特别是有访问本地资源功能的组件,更要小心,别让人破坏了用户的数据或是窃取了信息。


所以,你一定要看一看这篇MSDN的文章:Designing Secure ActiveX Controls(http://msdn2.microsoft.com/EN-US/library/aa752035.aspx)

虽然微软做了以上的防范,但是存在安全隐患。比如为了检查ActiveX组件是否支持IObjectSafety接口,你必须先把ActiveX组件给创建了。
在你发现它根本就不支持IObjectSafety之前,相关的Dll就会被加载,初始化代码已经执行。天知道那些ActiveX组件创建后会不会有什么安全隐患,即便没有,
也是浪费系统资源的。

下面这篇文章IObjectSafety and Internet Explorer (http://www.securityfocus.com/archive/1/391803) 就提出了一些改进意见,认为应该先检查Component Category Manager里的值,
因为这只是静态的检索不需要真正加载ActiveX组件。如果注册表表明其是安全的,再加载和检查IObjectSafety接口。
后面这一步是否有点多余?难道是怕有人篡改了注册表?也有可能。因为ActiveX组件是经过数字签名的,所以不可能生加上IObjectSafety接口。
所以,需要双重防范。


因此,ActiveX还是带有很多安全隐患的。所以,为了避免麻烦,不要随便浏览不靠谱的网页。
IE7 规范(http://blogs.msdn.com/ie/archive/2006/02/14/532211.aspx)
IE7 ReleaseNote(http://msdn.microsoft.com/en-us/ie/aa740486.aspx

http://www.microsoft.com/china/MSDN/library/NetComm/ActiveX+Security.mspx?mfr=true)

Protect mode
http://msdn.microsoft.com/en-us/library/bb250462.aspx#wpm_sftup

http://msdn.microsoft.com/en-us/library/bb250462.aspx#upm

http://support.microsoft.com/kb/240797

http://msdn.microsoft.com/en-us/library/bb250471.aspx
http://msdn.microsoft.com/en-us/library/bb250493.aspx
http://blogs.msdn.com/ie/archive/2006/02/14/532211.aspx
http://www.microsoft.com/china/MSDN/library/NetComm/ActiveX+Security.mspx?mfr=true

控件数字签名
http://www.wotrust.com/support/signcode_guide.htm

http://www.eyuansoft.com/blog/user1/1/archives/2008/2460.htm

stone_kingnet
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
隐藏IE的ActiveX控件提示和安全风险提示
popuui123的博客
10-16 1287
隐藏Active控件需要点击确定的提示 1、修改Internet选项 打开Internet选项,在自定义级别把“对未标记为可安全执行脚本ActiveX控件初始化并执行脚本”改为“启用”,将“仅允许经过批准的域在未提示的情况下使用ActiveX”改为“禁用”,然后确定。 2、 HTML页面添加注释 在HTML文件头部添加注释“<!-- saved from url=(0014)about:internet -->”,在<!DOCTYPE>和标签之间插入,如下: <!DOCTYP
ActiveX控件与Javascript之间的交互示例
10-25
ActiveX控件是微软在Internet Explorer浏览器中引入的一种技术,它允许开发人员创建可以在网页上运行的可定制的、安全的、动态的组件。这些控件可以提供比纯HTML更丰富的用户界面和功能,比如访问本地文件系统、执行...
IE11对 Activex控件的兼容性问题
热门推荐
93Storm
04-12 2万+
因项目需要,开始学习并研究VC、DLL及ActiveX控件,网上资料找了很多,但没一个可用的或者说没一个例子可理解并运行的。没办法,自己研究吧。功夫不负有心人,终有小成了,呵呵,现在把自己学习总结了一下,献给需要的人。 一、 概述 因项目需要,开始学习并研究VC、DLL及ActiveX控件,网上资料找了很多,但没一个可用的或者说没一个例子可理解并运行的。没办法,自己研究吧。功夫不负有心人,终有小
IE一键设置ActiveX控件、JAVA脚本、活动脚本
04-13
运行bat文件,对IE一键设置ActiveX控件、JAVA脚本、活动脚本。win7及以上版本,最好采用右键点击,选择以管理员身份运行bat文件。
IE一键设置脚本ActiveX控件常规允许工具
12-27
**IE一键设置脚本ActiveX...总的来说,这个工具为那些依赖ActiveX控件的老网站提供了一种快速配置IE浏览器的方法,但使用时需谨慎,以平衡功能需求和网络安全。对于不熟悉此类操作的用户,建议在专业人士的指导下进行。
RemotelyAnywhere ie8 ie9 ie10 ie11 ActiveX 控件
02-05
微软IE团队今天宣布从8月12日起,IE8—IE11家族浏览器将开始封杀老旧ActiveX插件。 用RemotelyAnywhere很多年了,突然win8.1上不能安装...RemotelyAnywhere ie8 ie9 ie10 ie11 ActiveX控件 祝需要的朋友也能解决问题。
IE浏览器ActiveX控件设置
04-28
力控,组态王
搞定ActiveX嵌入页面的IE安全性屏蔽
张名举的专栏
07-02 2077
关键字:ActiveX, OCX, IE, IE7, 安全性,屏蔽,网页 开始的时候写了一个ActiveX控件,这个ActiveX是有Setup.exe的,刚开始的时候只是在本地写这个ActiveX控件,这时候使用的时候本地打开IE窗口,只是点黄框,激活ActiveX就可以使用了。 后来在www方式下打开我的页面,问题就来了,我的控件被屏蔽了。IE6还可以通过降低安全性来Enable这个A
四台服务器分别部署组件内容.md
最新发布
07-24
四台服务器分别部署组件内容.md
GitHub Issue 模板:提升团队协作效率的秘籍
07-24
GitHub是一个面向开源及私有软件项目的托管平台,因为只支持Git作为唯一的版本库格式进行托管,故名GitHub。GitHub提供了分布式版本控制和源代码管理(SCM)功能,此外还有一些特色功能,例如允许用户对项目进行跟踪、协调工作、管理任务和代码审查。 ### GitHub的主要特点包括: 1. **版本控制**:GitHub基于Git,一个分布式版本控制系统,可以跟踪代码的每一次更改。 2. **协作**:GitHub提供了多种工具来支持多人协作,包括分支管理、合并请求(Pull Request)、代码审查等。 3. **社区**:GitHub拥有庞大的开发者社区,用户可以探索其他项目,贡献代码,或者获取灵感。 4. **文档**:通过README文件和Wiki页面,项目可以拥有详细的文档说明。 5. **问题跟踪**:GitHub提供了问题跟踪系统,方便项目成员报告问题、讨论解决方案。 6. **Gist**:一种简单分享代码片段的方式。 7. **GitHub Actions**:自动化工作流程,可以自动运行测试、部署代码等。 8. **GitHub Pag
Day2-数据类型、常量、变量及运算符代码案例
07-24
Day2-数据类型、常量、变量及运算符代码案例
uart_top.v
07-24
uart_top
java程序设计—JAVA泡泡堂网络游戏的设计与实现(源代码+论文)49.rar
07-24
java程序设计,可供正在学习的同学研究参考。
C#开发ActiveX控件详解:技术难点与实践指南
此外,考虑到浏览器安全设置,用户可能需要手动调整浏览器的ActiveX控件设置以允许运行。 在升级ActiveX控件时,开发者需要确保新版本能够兼容旧版本的数据和行为,同时更新注册表项,避免与已存在的控件发生冲突。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值