Web. 8 вопрос. Объектная модель браузера и её использование при создании интерактивных веб-страниц

Веб-страницы (гипертекстовые документы) - это файлы, которые имеют уникальный адрес и отображаются браузерами.

WWW-страницы могут быть:

· статическими;

· динамическими;

· интерактивные.

Статические страницы - это статические файлы (набор текста, таблиц, рисунков и т.д.), которые создается с помощью языка разметки HTML и имеет расширение.html или.htm.

Динамические веб-страницы - это веб-страницы, сгенерированные или сформированные (созданные) в процессе исполнения запроса пользователя. Эти страницы пишутся на языке PHP, ASP и т.д. и имеют соответственно расширения.php,.aspx. Динамические страницы создаются так называемым движком (Content Managment System – Система Управления Контентом) или специальной программой на сервере, которая по запросам пользователей формирует веб-страницу из данных хранящихся на сервере в базе данных.

Интерактивные веб-страницы - это веб-страницы, которые включают в себя формы (созданные на языках PHP, JavaScript и VBScript и т.д.), с помощью этих форм происходит обмен данными между пользователем и сервером.

Объектная модель браузера (анг. Browser Object Model (BOM)) — это часть JavaScript, которая позволяет скрипту взаимодействовать с программой просмотра веб-страниц. BOM представляет объекты, через свойства и методы которых можно управлять внешним видом и поведением обозревателя.

С точки зрения JavaScript браузер представляет собой набор объектов, объединенных в иерархическую структуру. Именно эта иерархия объектов, доступная для использования в сценариях, и называется Объектной Моделью Браузера — Browser Object Model или просто BOM. BOM имеет довольно сложную и разветвленную структуру, и насчитывает несколько десятков типов объектов (все зависит от типа и версии браузера).

· window (главный элемент иерархии) — окно браузера. Window может являться только объектом.

· location(свойство window) — объект, который содержит свойства, описывающие местонахождение текущего документа. Представляет собой полный url. Каждое свойство объекта location представляет отдельную часть url.

· frame(свойство window) — объект, который может показывать на одном экране несколько независимо прокручиваемых фреймов, каждый из которых имеет свой собственный url.

· navigator(объект браузера) — объект, который содержит информацию о текущей версии навигатора.

· document(свойство window) — объект, который содержит информацию о текущем документе, методы отображения Html-страницы.

· anchor (свойство document) - фрагмент текста, который может быть помещен в гиперссылку.

· form (свойство document) — объект для вставки формы. Включает в себя такие элементы, как button, checkbox, hidden, password, radio, reset, select, submit, text, textarea.

· history (свойство document) — объект для манипуляции с информацией об истории веб-браузера.

· link (свойство document) — объект для взаимодействия со ссылками.

· Date(не является свойством других объектов) — встроенный объект для взаимодействия с датой и временем.

· string(не является свойством других объектов) — встроенный объект для взаимодействия со строками.

· Math(не является свойсинтерактивныетвом других объектов)- встроенный объект, имеющий свойства и методы для математических констант и функций.

Каждый объект имеет свои свойства и методы (функции управления объектами). Свойство — это некоторая характеристика объекта (например, цвет фона документа, ширина изображения, выбрана кнопка radio или нет и др.). Метод — это некоторая команда, которая «что-то выполняет» (например, метод close() и его применение window.close(), которое означает, что необходимо закрыть окно)

Рассмотрим в качестве примера форму с текстовым полем (Листинг 1.1):

Листинг 1.1. Пример объектов

<!DOCTYPE Html PUBLIC "-//W3C//DTD XHTML 1.0

Transitional//EN" "http://www.w3.org/TR/xHtml1/DTD/xHtml1-transitional.dtd">

<Html>

<head><title>Объектная модель</title></head>

<body>

<form name="my_form">

<input type="text" name="my_text" value="hello" />

</form>

</body>

</Html>

Листинг описывает следующую структуру объектов:

· window — окно браузера.

· window.document — данное окно включает в себя некоторый документ (document для window является свойством).

· window.document.form — в документе находится форма (form для document является свойством).

· window.document.form.input — в форме есть текстовое поле (input для form является свойством).

window.document.form.input.value — у текстового поля есть свойство value (оно принимает значение hello).

К объектам можно применять методы или использовать функции JavaScript. Например, использование метода окна alert(window.document.my_form.my_text.value) (или window.alert (window.document.my_form.my_text.value)) в JavaScript-коде вернёт в окно сообщения значение свойства value.

ИБ. 4 вопрос. Организационно-распорядительная защита (цели, что в себя включает, принципы построения, функции администратора безопасности);

Организационно-распорядительная защита предусматривает только меры защиты от угроз конфиденциальности. Цели организационно-распорядительной защиты – правильный подбор персонала, создание режима защиты конфиденциальной информации, обеспечение для персонала условий, при которых распространять конфиденциальную информацию становится невыгодно и опасно, ограждение своих сотрудников от нежелательного внимания конкурентов и пр.

Организационно-распорядительная защита включает в себя работу с кадрами и внутриобъектовый режим. Отбор, обучение и расстановка кадров являются одним из ведущих направлений этой защиты. Кадровая работа предусматривает:

· отбор кандидатов на вакантные должности;

· изучение их моральных и деловых качеств;

· обучение персонала;

· расстановку кадров;

· использование дисциплинарной практики;

· увольнение ненадежных сотрудников.

В основу построения организационно-распорядительной защиты положены следующие принципы:

· Информация без носителей не существует, поэтому охранять в первую очередь требуется носители, даже в тех случаях, если они еще не содержат защищаемой информации. Предусматривается регистрация тетрадей, блокнотов, листов бумаги, машинных носителей информации (МНИ), предназначенных для записи и хранения конфиденциальных сведений. Сотрудник, получая зарегистрированный носитель информации во временное или постоянное пользование, подтверждает факт получения своей подписью. Учет и контроль распространяются именно на вещественные носители информации. Например, пользователям ЭВМ запрещается:

o использовать незарегистрированные машинные носители;

o приносить на работу личные машинные носители;

o записывать на зарегистрированные носители информацию, степень секрет-ости которой превышает гриф секретности носителя;

o распечатывать конфиденциальные документы без разрешения руководителя либо создавать неучтенные копии документов и др.

· Защищаемая информация во всех ее формах и видах должна быть изолирована от несанкционированного доступа со стороны потенциального нарушителя. В отсутствие персонала вещественные носители конфиденциальной информации должны храниться в закрытых и опечатанных сейфах, а помещение должно быть опечатано и сдано под охрану. Уходя из помещения, сотрудники должны убирать со своих рабочих мест документы конфиденциального содержания. Находясь в помещении, сотрудники должны иметь на своих рабочих местах (столах) только те документы, с которыми они в настоящее время работают. Технические средства обработки информации, в частно-сти персональные компьютеры, должны защищаться от несанкционированного доступа программно-аппаратными средствами.

· Персонал ранжируется по степени доверия – от случайных лиц до особо доверенных и лояльных специалистов и руководителей. Степень доверия растет со степенью осведомленности и рангом специалиста. Незаконное приобретение прав доступа к информации в зависимости от тяжести наступивших последствий ранжируется от дисциплинарного проступка до преступления, предусмотренно-го ч. 2 ст. 272 УК РФ.

· Производственная деятельность сотрудников регламентируется по месту, времени и выполняемым функциям. Доступ в помещения, где хранится, обрабатывается, копируется, печатается и отображается конфиденциальная информация, разрешается только определенным категориям сотрудников. Технический персонал (уборщицы, сантехники, электрики и др.) выполняют свою работу в указанных помещениях только при отсутствии на рабочих местах конфиденциальных документов и под контролем со стороны одного из сотрудников.

· Вводится режим ограничения информированности: каждый сотрудник должен быть осведомлен только в тех вопросах, которые ему необходимо ре-шать. Сотрудники, имеющие допуск к конфиденциальной информации, в обязательном порядке и под расписку ознакомляются с перечнем сведений, которые запрещается разглашать.

· Минимизируются количество и продолжительность контактов сотрудников, не связанных совместной деятельностью. Например, работники ка-дого цеха на большом предприятии допускаются на его территорию и выпускаются обратно через контрольно-пропускной пункт, закрепленный за конкретным цехом.

· Используется политика объединения полномочий. Характерный пример объединения полномочий – для доступа к компьютерной информации высокой степени секретности пользователям может назначаться сложный пароль, и каждый из них знает и вводит только часть этого пароля.

· Осуществляются контроль, наблюдение и надзор за персоналом (в том числе в скрытых формах).

· Осуществляются учет и контроль каждого обращения к конфиденциальным сведениям.

· При выполнении совершенно секретных и особой важности работ исполь-зуются дезинформация и легендирование.

В автоматизированных информационных системах (АИС) со средним и высоким уровнем требований к сохранности информации вводится принудительное администрирование и назначается администратор безопасности. Администратор – это тоже пользователь, но не информационных ресурсов, а системы информационной защиты. В функции администратора входят перечисленные обязанности

· Управление доступом пользователей к АИС и компьютерной информации (регистрация новых пользователей и пользовательских групп, блокирование учетных записей временно отсутствующих пользователей и удаление записей, содержащих сведения об уволенных сотрудниках). В обязанности администратора входит также назначение новых паролей или контроль за их своевременной заменой, проверка уязвимости системы парольной защиты.

· Контроль за используемым и устанавливаемым (инсталлируемым) программным обеспечением, и защита его от вредоносных программ. Все программное обеспечение, – в том числе операционные системы, программные приложения, утилиты и прочее, должны быть легально приобретены или получены и проверены на функционирование. Для проверки нового программного обеспечения обычно выделяется отдельный компьютер, не включенный в локальную сеть и не используемый для обработки и хранения важной информации.

· Резервирование хранимых данных. Для резервирования открытой и конфиденциальной информации должны использоваться разные носители. Для того, чтобы снизить риск потери данных в случае нападения, хищения или стихийного бедствия носители архивной информации должны размещаться в надежном хранилище в другой части здания или другом здании.

· Восстановление информации в случае ее разрушения.

· Обеспечение работоспособности аппаратуры и оборудования, производительности автоматизированных информационных систем и удобства работы пользователей.

ИБ. 8 вопрос. Криптология (определения, стойкость и абсолютная стойкость, симметричные и ассиметричные криптосистемы);

Криптпология – наука, состоящая из двух ветвей: криптографии и криптоанализа. Криптография – наука о способах преобразования (шифрования) информации с целью ее защиты от незаконных пользователей. Криптоанализ – наука (и практика ее применения) о методах и способах вскрытия шифров.

Криптографическое преобразование – это одна из форм кодирования дискретных сообщений. С помощью криптографических методов решаются задачи трех видов:

· шифрование и расшифровка передаваемых сообщений и хранимых блоков данных с помощью единственного секретного ключа (симметричные криптосистемы);

· шифрование и расшифровка передаваемых сообщений (точнее – передаваемых сеансовых ключей) с помощью двух взаимосвязанных ключей – открытого и закрытого (асимметричные криптосистемы);

· подтверждение авторства и целостности передаваемого сообщения, а также неоспоримости факта его передачи методами симметричной или асимметричной криптографии (электронная цифровая подпись).

Четвертой (производной) задачей является разработка системы генерации, распределения, использования и уничтожения ключей шифрования.

Стойкость шифра – это способность шифра противостоять атакам на него. Стойким считается алгоритм, который для успешной атаки требует от противника недостижимых вычислительных ресурсов, недостижимого объёма перехваченных открытых и зашифрованных сообщений или же такого времени раскрытия, что по его истечению защищенная информация будет уже не актуальна, и т. д. В криптографии различают три типа стойкости:

· вычислительная стойкость – когда имеется потенциальная возможность вскрыть шифр, но при выбранных в шифры параметрах и ключах на современном этапе развития криптоанализа у противника не хватит вычислительных ресурсов и времени для вскрытия. Если алгоритм вскрытия шифра на современных мощных компьютерах должен выполнить 80 2 операций, то шифр называют вычислительно стойким.» Никакой реальный шифр нельзя обоснованно считать вычислительно защищенным, поскольку мы не знаем, как доказать оптимальность найденного метода взлома. Не являются вычислительно стойкими: шифры сдвига, замены, Виженера. К вычислительно стойким шифрам относятся DES, AES, RSA, шифр Эль-Гамаля.

· информацийно-теоретическая стойкость (или абсолютную стойкость), когда криптоаналитик не может раскрыть криптосистему ни теоретически, ни практически, даже имея бесконечно большие вычислительные ресурсы. Доказательства стойкости в такой модели выводятся из теории информации;

· доказуемая стойкость, при которой доказательство стойкости криптосистеми сводят к решению определенной трудно решаемой математической проблемы, положенной в основу алгоритму. Например, криптосистема RSA стойка, если модуль алгоритму n нельзя факторизовать.

Криптосистема — это завершенная комплексная модель, способная производить двусторонние криптопреобразования над данными произвольного объема и подтверждать время отправки сообщения, обладающая механизмом преобразования паролей и ключей и системой транспортного кодирования

Симметричные криптосистемы (также симметричное шифрование, симметричные шифры) — способ шифрования, в котором для шифрования и расшифровывания применяется один и тот же криптографический ключ. Ключ алгоритма должен сохраняться в секрете обеими сторонами. Алгоритм шифрования выбирается сторонами до начала обмена сообщениями.

Примером таких алгоритмов являются симметричные криптографические алгоритмы, перечисленные ниже:

· Простая перестановка

· Одиночная перестановка по ключу

· Двойная перестановка

· Перестановка "Магический квадрат"