Политики для управления кэшированием паролей в Internet Explorer

После введения пароля в окне форм в Internet Explorer появляется диалоговое окно, которое запрашивает дополнительные права: сохранять или нет пароль. В дальнейшем пароль не придется набирать заново, когда открыта эта же страница с этой же формой ввода. Это и есть кэширование паролей.

С одной стороны, кэширование паролей - это определенное удобство для пользователя, который может даже забыть введенный пароль, с другой, представляет серьезную угрозу безопасности, так как возможен беспрепятственный доступ к ресурсу, защищенному паролем, достаточно знать его точное имя. Если в Windows задействовано автоматическое заполнение адресов или полей форм в проводнике и Internet Explorer, так называемый AutoComplete, то задача упрощается до минимума. Сама функция автоматического заполнения выдаст список, просматривая который, можно угадать точное имя ресурса. Отдельно взятый пункт, сформированный автоматическим заполнением, можно удалить из списка. Для этого необходимо выделить его и нажать DEL. Однако этот способ не работает для выпадающего списка адресов, набранных в адресной строке Internet Explorer.

Если открыть в "Свойствах обозревателя" страницу с закладкой "Содержание", то в "Личных данных" можно увидеть кнопку "Автозаполнение". По нажатии этой кнопки вызывается диалоговое окно, содержащее переключаемые окна для управления "Использованием автоматического заполнения для": "Web-адресов", "Форм", "Имен пользователей и паролей в формах" и "Запрос на сохранение пароля". Полностью отключить кэширование паролей при введении в формы web-страниц можно в переключаемом окне с надписью: "Имена пользователей и пароли в формах". Сброс флажка "Запрос на сохранение пароля" отменяет все последующие сохранения, но раннее занесенные пароли продолжают автоматически подставляться после введения имени пользователя в той же форме. Запрет автозаполнения паролей в установках не приводит к очистке уже занесенной информации об именах и соответствующих им паролях, для этого существуют две кнопки, которые находятся ниже, в том же диалоговом окне для "Очистки журнала автозаполнения" с подписями: "Очистить формы" и "Очистить пароли".

Полное рассмотрение функции автоматического заполнения выходит за рамки данной статьи. В заключение отмечу два факта. Параметры автоматического заполнения, сохраненные адреса, - общие как для Internet Explorer, так и для проводника Windows. Последнее: "Автозаполнение" - прекрасный инструмент для проведения анализа активности и реконструкции действий пользователя в системе.

Чтобы избежать ненужных повторов и возможных несоответствий, вызванных различиями, присущими разным версиям обозревателей, наличием установленных пакетов обновлений, разным версиям Windows, сразу отмечу, что вся приведенная информация перепроверялась в Windows ME, на обозревателе Internet Explorer версии 5.5, с установленным пакетом обновлений для поддержки 128-битного шифрования.

 


Отмена кэширования пароля в Internet Explorer

Здесь пойдет речь о том, как отменить кэширование паролей в Internet Explorer. Эта системная политика имеет ограниченное применение. Приведенная информация относится к Internet Explorer версии 4.01 с установленным 2-м пакетом обновлений, к 5 и 5.01 версиям Internet Explorer, работающему под Windows 95, 98, NT 4.0 и Internet Explorer 5.01 для Windows 98 Second Edition. Например, при проведении испытаний под Windows ME, Internet Explorer версии 5.5 проигнорировал эту политику.

Состояние этой системной политики хранится в целочисленном параметре DisablePasswordCaching, который должен находиться в ключе Software\Microsoft\Windows\CurrentVersion\Internet Settings системного реестра в разделе HKEY_CURRENT_USER. Соответственно, действие политики распространяется только на "Текущего пользователя", а не на всю систему в целом. Значение параметра "1" задействует политику, значение "0" или отсутствие параметра отменяет политику. "По умолчанию" у Internet Explorer эта политика находится в неактивном состоянии и в Internet Explorer задействовано кэширование паролей.

Компания Microsoft посвятила этой проблеме и приведенной здесь политике статью Q229940 в MSDN под названием "How to Disable Internet Explorer Password Caching".


Запрет сохранения паролей для "Автозаполнения"

Эта системная политика по своему предназначению сходна с предыдущей. Когда эта системная политика в активном состоянии, то она блокирует автоматическое заполнение имен пользователей и паролей в формах web-страниц и предотвращает появление диалоговых окон с запросом о сохранении нового введенного пароля. Если эта политика задействована, то помечаемые окна "Имен пользователей и паролей в формах" и "Запрос на сохранение пароля" становятся затемненными, показывая тем самым, что заблокированы не только эти функции, но и сама возможность их включения.

Для того, чтобы увидеть эти помечаемые окна, необходимо в "Установках обозревателя" выбрать страницу с закладкой "Содержание" и далее нажать кнопку "Автозаполнение".

Параметр "FormSuggest Passwords", хранящий эту политику, находится в ключе "Software\Policies\Microsoft\Internet Explorer\Control Panel", в ветви HKEY_CURRENT_USER. Действие политики распространяется только на "Текущего пользователя", зарегистрировавшегося в системе, но не на всю систему в целом. Чтобы действие политики после изменения ее состояния вступило в силу, нет необходимости перезагружать систему в целом, достаточно перезапустить сам обозреватель, закрыв перед этим все его копии.

Показательно, что реализация Microsoft этой политики вызывает больше чем недоумение. Параметр "FormSuggest Passwords" может быть как целочисленного (DWORD), так и бинарного или строкового типа. Отсутствие параметра в системном реестре приводит политику в неактивное состояние - состояние "по умолчанию". Если параметр целочисленного типа, то за представление двух состояний отвечают два булевых значения: "1", дающее активное состояние, и "0", дающее неактивное, соответственно. Когда параметр бинарного типа, то у него возможны два значения: "01 00 00 00" для активного состояния и "00 00 00 00" - для неактивного.

Самая странная была реакция политики на содержимое параметра строкового типа. Пустая строка или значения "yes", "no", "1" и "0" приводили политику в активное состояние. Строки "true" и "false" или полное отсутствие параметра отменяли ее действие. Регистр символов значения не имел.

Активное состояние политики для "запрета сохранения паролей для автозаполнения" не приводит к очистке уже занесенной информации в журнале, хранящем имена и соответствующие им пароли.

И последнее: не следует путать параметр "FormSuggest Passwords", хранящийся в ключе "Software\Policies\Microsoft\Internet Explorer\Control Panel", и одноименный параметр, который может находиться в ключе "Software\Microsoft\Internet Explorer\Main" как в разделе HKEY_LOCAL_MACHINE, так и в разделе HKEY_CURRENT_USER. Последний параметр относится к установке обозревателя, хранящей состояние переключаемого окна с надписью: "Имена пользователей и пароли в формах".

Valient Newman,
www.geocities.com/werebad

Версия для печатиВерсия для печати

Номер: 

43 за 2002 год

Рубрика: 

Software
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!