ie浏览器、outlook express和im聊天工具中的附件往往是安全威胁的重要源头。到目前为止,我们在处理附件方面仍然面临着两大主要问题:
1、要正确辨认附件的安全性具有一定的难度:
一般而言,只包含纯文本信息和简单图象文件的附件是绝对安全的,但是带有二进制可执行文件的附件安全性总是值得怀疑。不带有某些易于检测的元素的其他文件也可能是安全的,这些文件包括没有任何宏命令的excel电子表格等等。zip文件和其他压缩文档本身是安全的,但它们可能带有一些不安全的文件。
2、每一个应用程序确认附件的安全性时总是各行其道:
windows用户和操作系统区别文件类型的传统方法是区分不同的扩展名:名称为“readme.txt”的是一个纯文本文件,默认由“记事本”打开;而“readme.doc”文件则属于word文档。电子邮件和网页浏览器同样有着mime协议(多用途网际邮件扩充协议)来区分文件类型,一些应用程序和服务总是根据文件中的内容来确定它们的处理类型。
windows xp sp2引进了全新的“附件执行服务”(attachment execution service,简称为aes)对查看和执行信息附带的文件进行控制。aes带有一个com接口,可由outlook express、ie、windows messenger、msn messenger等程序轮番使用。
windows xp sp2 aes的工作机制:
aes会对某个文件进行检测并根据多个标准确认是否可以安全地查看和执行该文件。
aes首先会检测文件的后缀,对于文本文件(.txt)、jpeg图象(.jpg)和gif图象(.gif)aes是完全信任的;aes可以检测指定的mime类型和文件扩展名及其关联的应用程序之间的一致性;aes可以根据列表确认特定的关联文件是否安全;在允许用户查看或运行不安全的文件之前,aes会先确保反病毒软件已经启用且带有最新的病毒定义。此外,aes还可以检测信息源的当前安全区域来调节它的策略。
上一篇文章: