Zapobieganie problemom z zabezpieczeniami zwi¹zanym ze skryptami krzy¿owymi w programach Internet Explorer i Outlook Express

W firmie Microsoft stwierdzono powa¿n¹ lukê w zabezpieczeniach, która mo¿e potencjalnie dotyczyæ wielu witryn i u¿ytkowników sieci Web. Luka znana jest pod nazw¹ „Cross-Site Scripting” (Skrypty krzy¿owe) i mo¿e wystêpowaæ we wszystkich programach umo¿liwiaj¹cych u¿ywanie skryptów, ale nie jest wynikiem wad tych programów. Luka zwi¹zana jest raczej z typowymi praktykami dotycz¹cymi pisania programów w sieci Web. Dodatkowe informacje na temat tego problemu mo¿na znaleŸæ w nastêpuj¹cej witrynie sieci Web firmy Microsoft: W niniejszym artykule opisano czynnoœci, jakie trzeba wykonaæ, aby w czasie przegl¹dania i modyfikacji kodu witryny sieci Web przez jej w³aœcicieli mogli oni bezpiecznie przegl¹daæ sieæ Web. Luka dotyczy wszystkich programów korzystaj¹cych ze skryptów; w tym artykule podaliœmy instrukcje, jak zabezpieczyæ programy firmy Microsoft. U¿ytkownikom programów innych producentów zalecamy skontaktowanie siê z nimi w sprawie instrukcji dotycz¹cych konfigurowania tych programów.

Istnieje kilka czynnoœci zapobiegawczych, które mog¹ zminimalizowaæ efekty tego problemu. Zalecamy, aby wykonali je wszyscy klienci.

Jak zapobiegaæ skryptom krzy¿owym w wiadomoœciach e-mail

Aby uniemo¿liwiæ wystêpowanie skryptów krzy¿owych w wiadomoœciach e-mail, wy³¹cz opcjê Wykonywanie aktywnych skryptów w strefie Witryny z ograniczeniami.

Dodatkowe informacje o tym, jak wy³¹czyæ opcjê Wykonywanie aktywnych skryptów w strefie Witryny z ograniczeniami oraz jak konfigurowaæ ca³¹ pocztê e-mail, aby dzia³a³a w strefie Witryny z ograniczeniami, mo¿na uzyskaæ, klikaj¹c numery artyku³ów umieszczone poni¿ej, aby wyœwietliæ artyku³y z bazy wiedzy Microsoft Knowledge Base:

Zachowywanie ostro¿noœci w celu unikniêcia ataków podczas przegl¹dania sieci Web i czytania wiadomoœci e-mail

• Przegl¹daj witryny sieci Web, o których wiesz, ¿e nie zawieraj¹ z³oœliwego kodu.
• Zachowaj ostro¿noœæ podczas pierwszej wizyty w witrynie sieci Web. Najbezpieczniejszym sposobem po³¹czenia siê z witryn¹ sieci Web jest wpisanie jej adresu bezpoœrednio w przegl¹darce lub u¿ycie przechowywanej w bezpiecznym miejscu zak³adki lub ulubionego elementu. Postêpuj¹c tak, znacznie ograniczasz nara¿enie siê na niebezpieczeñstwo, zachowuj¹c funkcjonalnoœæ.
• Nie klikaj hiper³¹czy w wiadomoœciach e-mail, nawet jeœli wiadomoœæ wydaje siê pochodziæ od zaufanej osoby. Z³oœliwy u¿ytkownik mo¿e u¿yæ fa³szywej nazwy w wierszu Od: wiadomoœci e-mail.

Naprawa po ataku skryptu krzy¿owego

UWAGA: Nastêpuj¹ce czynnoœci nale¿y wykonaæ jedynie wtedy, gdy ma siê pewne dowody, ¿e odwiedzana witryna sieci Web u¿ywa skryptów krzy¿owych. Po ich wykonaniu nale¿y ponownie zarejestrowaæ siê i ponownie dostosowaæ swój profil we wszystkich witrynach, które planuje siê odwiedzaæ.

Aby zatrzymaæ skrypt krzy¿owy:

1. Zamknij program Internet Explorer.
2. Uruchom ponownie program Internet Explorer i odwiedŸ bezpieczn¹ witrynê sieci Web, tak¹ jak:
   http://www.microsoft.com
3. Usuñ z komputera wszystkie pliki cookie. W tym celu wykonaj czynnoœci odpowiednie dla wersji programu Internet Explorer.

   Program Internet Explorer 6 dla systemów Windows 98, Windows NT 4.0, Windows 98 Wydanie drugie, Windows Millennium Edition lub Windows 2000

   1. W menu Narzêdzia kliknij polecenie Opcje internetowe, a nastêpnie kliknij kartê Ogólne.
   2. W sekcji Tymczasowe pliki internetowe kliknij przycisk Usuñ pliki cookie, kliknij przycisk OK, a nastêpnie ponownie kliknij przycisk OK.

   Program Internet Explorer 5.x dla systemów Windows 95, Windows 98, Windows NT 4.0, Windows 98 Wydanie drugie lub Windows 2000

   1. W menu Narzêdzia kliknij polecenie Opcje internetowe, a nastêpnie kliknij kartê Ogólne.
   2. W obszarze Tymczasowe pliki internetowe kliknij przycisk Ustawienia.
   3. Kliknij przycisk Wyœwietl pliki.
   4. W menu Widok kliknij, aby zaznaczyæ polecenie Szczegó³y.
   5. Kliknij etykietê kolumny Adres internetowy, a nastêpnie przewiñ zawartoœæ do pozycji adresów internetowych plików cookie. Na przyk³ad adres internetowy pliku cookie mo¿e mieæ nazwê podobn¹ do poni¿szej:
      Cookie:jkowalski@nazwawitryny.com
   6. Kliknij plik cookie, a nastêpnie naciœnij klawisz Usuñ. Jeœli pojawi siê monit o potwierdzenie usuniêcia, kliknij przycisk Tak. Powtórz ten krok dla ka¿dego pliku cookie.

   Program Internet Explorer 4.x dla systemów Windows 95, Windows 98 lub Windows NT 4.0

   1. W menu Widok kliknij polecenie Opcje internetowe, a nastêpnie kliknij kartê Ogólne.
   2. W obszarze Tymczasowe pliki internetowe kliknij opcjê Ustawienia.
   3. Kliknij przycisk Wyœwietl pliki.
   4. W menu Widok kliknij, aby zaznaczyæ polecenie Szczegó³y.
   5. Kliknij etykietê kolumny Adres internetowy, a nastêpnie przewiñ zawartoœæ do pozycji adresów internetowych plików cookie. Na przyk³ad adres internetowy pliku cookie mo¿e mieæ nazwê podobn¹ do poni¿szej:
      Cookie:jkowalski@nazwawitryny.com
   6. Kliknij plik cookie, a nastêpnie naciœnij klawisz Usuñ. Jeœli pojawi siê monit o potwierdzenie usuniêcia, kliknij przycisk Tak. Powtórz ten krok dla ka¿dego pliku cookie.

   Program Internet Explorer 3.x dla systemu Windows 95 lub Windows NT 4.0

   1. W menu Widok kliknij polecenie Opcje, a nastêpnie kliknij kartê Zaawansowane.
   2. W obszarze Tymczasowe pliki internetowe kliknij przycisk Wyœwietl pliki.
   3. Kliknij etykietê kolumny Nazwa, a nastêpnie przewiñ zawartoœæ do pozycji plików cookie. Na przyk³ad plik cookie mo¿e mieæ nazwê podobn¹ do poni¿szej:
      Cookie:jkowalski@nazwawitryny.com
   4. Kliknij plik cookie, a nastêpnie naciœnij klawisz Usuñ. Jeœli pojawi siê monit o potwierdzenie usuniêcia, kliknij przycisk Tak. Powtórz ten krok dla ka¿dego pliku cookie.

   Program Internet Explorer 3.x, 4.x lub 5 dla systemu Windows 3.1x i dla systemu Windows NT 3.51

   1. W Mened¿erze plików kliknij polecenie Wyszukaj w menu Plik.
   2. W polu Wyszukaj wpisz emcookie.dat.
   3. W polu Rozpocznij od wpisz literê dysku, na którym jest zainstalowany program Internet Explorer, oraz dwukropek (:) i kreskê u³amkow¹ odwrócon¹ (\). Na przyk³ad C:\.
   4. Zaznacz pole wyboru Przeszukaj wszystkie podkatalogi, a nastêpnie kliknij przycisk OK.
   5. W oknie Wyniki wyszukiwania kliknij plik Emcookie.dat, a nastêpnie kliknij polecenie Usuñ w menu Plik.
   6. Kliknij przycisk OK, kliknij przycisk Tak, jeœli pojawi siê monit o potwierdzenie usuniêcia, a nastêpnie kliknij przycisk Tak, aby zaktualizowaæ okno Wyniki wyszukiwania.

   Program Internet Explorer 4.x dla komputerów Macintosh

   1. W menu Edit kliknij polecenie Preferences.
   2. W obszarze Receiving Files kliknij przycisk Cookies.
   3. Kliknij jeden z wyœwietlonych plików cookie.
   4. W menu Edit kliknij polecenie Select All, a nastêpnie kliknij przycisk Delete.

   Program Internet Explorer 4 lub 5 dla systemu UNIX na komputerach HP-UX lub Sun Solaris

   1. PrzejdŸ do katalogu .microsoft znajduj¹cego siê w katalogu macierzystym u¿ytkownika.
   2. PrzejdŸ do katalogu Cookies w katalogu .microsoft.
   3. Usuñ wszystkie pliki .txt w tym katalogu. Na przyk³ad uzytkownik@www.przyklad.com.txt.

Aby uzyskaæ dodatkowe informacje dotycz¹ce plików cookie, kliknij numer artyku³u poni¿ej w celu wyœwietlenia tego artyku³u z bazy wiedzy Microsoft Knowledge Base: