Websoft

воскресенье, мая 27, 2007

"Безопасные" преграды

В борьбе со всевозможным сетевым злом, пострадавшей стороной, к сожалению, становится электронное обучение. Электронное обучение без активного содержимого - нонсенс. Беда в том, что такого же типа активное содержимое используют и всякого рода сетевые злоумышленники. И с каждым новым билдом Internet Explorer (и других браузеров) настройки безопасности становятся все жестче и жестче, а сетевые администраторы в компаниях ограничивают все подряд в настройках серверов и прокси. Что именно в электронных курсах попадает под ограничения безопасности? Перечислим основные "слабые места".

1. Если электронный курс находится под управлением СДО - он обязательно посылает в СДО данные, причем чаще всего делает это незаметно для пользователя. Т.е. ведет себя, как классический sniffer (программа-шпион, которая незаметно "подслушивает" и пересылает "куда надо" данные с вашего компьютера).
2. Для пересылки данных, как правило, используется метод посылки POST. На беду, всевозможные популярные сетевые сервисы (от бесплатной почты до чатов), тоже используют этот метод посылки. Стремясь сподвигнуть персонал к работе, в компаниях зачастую запрещают посылки типа POST (настраивая прокси-сервера соответствующим образом).
3. Обычно для пересылки данных используются "виртуальные формы", создаваемые программно с помощью XML-методов. Увы, XMLHTTP, который для этого используется, является ActiveX-приложением (или plug-in'ом для других браузеров) и попадает под категорию "активное содержимое".
4. Если у вас распределенная система обучения и основные файлы курсов находятся, например, на локальных файловых серверах, а данные посылаются на центральный сервер СДО - естественное решение для сокращения сетевого трафика - то вы получите еще одну препону. Дело в том, что когда содержимое, загруженное из одного домена пытается незаметно что-то послать по другому адресу - это считается нарушением cross-domain security, злобным снифферством и по умолчанию запрещено.

Итак, что должно быть разрешено в настройках Internet Explorer (как самого распространенного браузера), чтобы курс нормально работал с СДО:

1. Если адрес вашего сервера СДО находится в зоне Интернет - внесите его доменное имя в список Надежные узлы (Trusted Sites). Если он находится в зоне Интранет - менять не обязательно.
2. Для зоны Надежные узлы (или Интранет, см. п.1) выберите уровень безопасности Другой и вручную разрешите все, что только найдете со словом ActiveX.
3. Если у вас распределенная система (случай 4) - дополнительно найдите чекбоксик про разрешение пересылки данных в другие домены и разрешите посылки.

9 комментариев:

Анонимный комментирует...

Вячеслав, здравствуйте

Позволю себе высказать свое мнение
Настройкой IT-систем в компании должны заниматься айтишники. Выстроить требуемую архитектуру и настроить ПО - их первейшая задача. Причем абсолютно под любую СДО можно настроить ПО. Другое дело, что зачастую айтишники стоят на пути, препятствуя заключению контракта и обосновывая некоей архитектурой безопасности и тд и тп - просто не хотят приобрести еще одну проблему в виде таинственной коробочки с надписью СДО.
Я конечно не айтишник, но все же позволю не согласиться с большей частью написанного здесь текста по пунктам 1-4.. много некорректной информации да и просто ошибок.

Алексей Корольков комментирует...

Уважаемый аноним, спасибо за Ваше мнение, но:
1) Если Вы кого-то критикуете автора, то возможно стоит все же привести хотя бы пару аргументов, описать пару найденных Вами ошибок, а также представиться
2) В реальном мире к сожалению ИТ как правило не очень горит желанием бороться с множеством проблем возникающих при эксплуатации СДО у конечных пользователей. При этом приводится миллион разных аргументов почему ничего сделать нельзя и администратор СДО (сотрудник HR), который совсем не имеет представления хотя бы о сути проблем и путях их решения, становится заложником мнения ИТ. Если Вы знаете типовые проблемы, слышали как они решаются, твердо уверены что это не "курс кривой" и "СДО глючит", а это проблемы с настройкой безопасности или proxy, то Вы сможете существенно быстрее убедить ИТ, что нужно шевелиться. Тогда можно внедрить систему за 2-3 месяца. В противном случае можно провозиться год без всякого результата.

Вячеслав Щинов комментирует...

Уважаемый аноним!
Эта статья действительно писалась для нетехнарей (а не для айтишников), чтобы дать представление о том, где могут возникнуть проблемы в связке "курс-СДО". Чтобы можно было хоть чуть-чуть увереннее разговаривать с теми же самыми айтишниками, которые зачастую саботируют решение проблем.
Далее, некоторые позиции сознательно упрощены (с технической точки зрения), что, на мой взгляд, не изменило сути. Целью было показать основные "засады", а не научить поьзователей айтишному ремеслу. Однако, если где-то есть ошибки - давайте их исправим вместе.

Alexander N Zubakov комментирует...

Вообще, на мой взгляд, проблема несколько надумана - все описанные ограничения легко снимаются. Конечно, иногда встречаются и несговорчивые сисадмины, но это не есть техническая проблема.

P.S. Снифер, кстати, ничего никуда не отсылает, снифер перехватывает пакеты для анализа. По русски он называется "Сетевой анализатор". А отсылает пакеты троян или шпионское ПО.

Анонимный комментирует...

Алексей,
в таком случае давайте по сути

1. нельзя говорить только о настройках explorer, ведь в компаниях выстроены целостные и уникальные айти-системы, частью которых являются системы безопасности, и в них участвует огромное количество софта - _различные_ браузеры, прокси, файерволы, антивирусы. Здесь стоит говорить не о конкретных галочках и чекбоксах, которые стоит выставить в эксплорере, а о настройке системы и организации эффективного взаимодействия ее компонентов. Так же стоит говорить о поставке в комплекте с СДО необходимой документации - в частности четко сформированных технических требований к установке СДО (требования формируются разработчиками). Все что происходит далее - это 'дело техники' - работа айти-отдела компании, в которой внедряется система. Мне кажется это очевидным. Почему так много слов звучит об автоматизации и стандартизации разработки электронных курсов, почему же никто не заботится об автоматизации (со стороны провайдера ПО) процесса внедрения системы?

2. сразу резанул сниффер - это фильтр траффика (от англ sniff - нюхать, принюхиваться, разнюхивать). термин снифферить тоже некорректен. впрочем, Александр уже заметил

прошу прощения за анонимность

Андрей Балыков комментирует...

Цитата 1: «в компаниях выстроены целостные и уникальные айти-системы»

Цитата 2: «стоит говорить о поставке в комплекте с СДО необходимой документации - в частности четко сформированных технических требований к установке СДО (требования формируются разработчиками)»

Кто-нибудь кроме меня заметил противоречие?

Алексей Корольков комментирует...

анониму: вы говорите "выстроены целостные и уникальные айти-системы" - не смешите мои тапочки - у нас есть внедрение в одном из крупных российских системных интеграторов. Есть 2 машины - на одной все работает, на одной не работает (что-то режет отправки данных на сервер). Мы сформулировали требования - "разрешить отправку данных на сервер по протоколу POST и т.п." - !!! месяц ИТ не может ничего сказать. Потом вдруг все начинает работать - на словах - ничего не делали, конфигурацию не менял и т.п. Конечно майкрософтовская безопасность штука сложная - где-то в Москве изменили галочку в редакторе политик - во Владивостоке все перестало или начало работать - но то, что в большинстве компаний это абсолютно четко прописано и настроено - миф. Во многих ведущих компаниях нет единого AD, нормальной систему учета пользователей и сотрудников и т.п. - при этом есть много красивых документов про ИТ политику и прочих правильных слов...

александру: если вы считаете, что проблема надумана, значит вы еще мало в своей жизни внедрили СДО - такая проблема возникает процентах в 30 случаев и является весьма актуальной (говорю по опыту >80 внедрений)

andrey firsov комментирует...

Ну вот, за живое, что говорится задели...
Сперва несколько слов в защиту глубоко уважаемого мною Вячеслава Анатольевича Щинова - сниффером в литературе по компьютерной безопасности достаточно давно называют вредоносные программы, которые "слушают" сетевой траффик или (sic!) перехватывают данные, поступающие с периферийных устройств (клавиатуры например).

Второе - по части стройности и цельности ИТ-инфраструктуры. Мне даже в которах с достаточно параноидальным отношением к безопасности (по принципу "лучше перебздеть, чем недобздеть") не доводилось встречать случаев, когда все компьютеры в сети были настроены абсолютно одинаково. То есть смена общей политики не обязательно приведет к смене настроек на всех рабочих станциях, а проблемы с СДО зачастую обусловлены именно настройками на месте, поскольку активный контент работает на клиенте.

Третье. Не говоря про многочисленные нынче слияния и поглощения, когда в одну инфраструктуру соединяются совершенно по разной архитектуре созданные сети, часты случаи, когда правая рука не ведает, что творит левая, и отдел системного администрирования практически не представляет, что творится у сетевиков. Кто скажет мне, что случай, когда некто, совершенно из благих побуждений, ставит ограничение на размер посылки данных на промежуточной циске, и это ограничение остается на века, когда уже канал расширен и приложения поменялись, так вот, тот кто скажет - что это из ряда вон выходящий случай, что такого в его организации не может быть никогда - пусть бросает в меня камень, я выдержу.

А вот и резюме: проблемы с активным контентом - очень непростые и (по-моему это парадокс, хотя и легко объяснимый) - труднее решаются именно в условиях централизованного управления.

P.S. что касается полного списка требований по внедрению СДО, то это хоть и справедливое требование, но во многих случаях является профанацией, поскольку я не самоубийца, и никто не посмотрит потом на замечание в документации, что "за учебные модули СДО ответственности не несет", зато все тыкнут меня носом - "курс фирмы ААА не работает в вашей системе, хотя все требования обеспечены"

Алексей Корольков комментирует...

Андрей, супер - спасибо за коммент. Что касается разныхз мнений насчет значимости проблемы - возможно коллеги не обратили внимание, а Слава не совсем корректно это описал - все описанные проблемы с активным контентом проявляются как правило при обмене данными по стандартам SCORM/AICC. Если СДО стандарты не поддерживает, то и проблем никаких :)