ActiveX trên trình duyệt và các vấn đề liên quan

14:00, 03/06/2011

Phiên bản trước của trình duyệt Internet Explorer 9 (IE 9) là IE 8 đã có giới thiệu tính năng Per-Site ActiveX – cho phép người dùng chạy trình điều khiển này trên các trang web được liệt kê sẵn (White-listed). Và với trình duyệt IE 9, sẽ giới thiệu đến 1 tính năng tương tự có tên là ActiveX Filtering. Khi bộ lọc này được kích hoạt, các trang web bạn truy cập sẽ bị ngăn lại với trình điều khiển này, và hiển thị lên bảng thông báo "No Add-Ons". Và ở đây ta sẽ vô hiệu hóa bộ lọc này cho các trang web mà bạn tin tưởng.


Nhưng ActiveX lại có nhược điểm là độc quyền và không  mở, chỉ làm việc trên trình duyệt và sau đó chỉ trong Windows . Bên cạnh đó Active lại có nhiều vấn đề khó giải quyết như là an ninh kém và đó chính là mục tiêu của nhiều cuộc tấn công từ trên Internet. Microsoft cũng đã cải tiến độ bảo mật cho ActiveX trong nhiều năm nhưng vẫn chưa có bản hoàn thiện. Nhiều trình duyệt  khác không  hỗ trợ công nghệ này và vì thế mà nhiều trang Web cũng không còn sử dụng, nhiều trang Web còn được trang bị nhiều tính năng tương tự như những phần mềm thông thường mà không cần dùng ActiveX.


Đối với IE 9, nó vẫn dựa vào ActiveX, nhưng Microsoft đã thêm tính năng mới là ActiveX Filtering, nhằm ngăn chặn mọi quá trình điều khiển của Active bên trong trình duyệt, sau đó người dùng có thể cho phép những trang web vào được nếu xem là an toàn.


Bằng cách truy cập vào Tool, và chọn vào chức năng ActiveX Filtering. Khi vô hiệu hóa tính năng này, thì chức năng ActiveX sẽ không thể giúp trang web chạy được 1 số tính năng trực quan khác như xem video, ảnh động…đặc biệt là những trang sử dụng Flash, đọc video để chạy như Youtube, Zing…thậm chí là cả XHTTonline, cụ thể bạn không thể cho điểm bài viết trên tại trang báo điện tử này vì lỗi trình duyệt không hỗ trợ AJAX.


Khi đó bạn sẽ thấy biểu tượng hình tròn gạch chéo màu xanh lam xuất hiện trên thanh địa chỉ, bấm vào nó và chọn Turn off ActiveX Filtering, khi bạn bấm vào nút này thì IE 9 sẽ tắt tính năng ActiveX Filtering này. Bạn có thể tắt tính năng này cho từng trang web có sử dụng ActiveX.


Các trang bạn đã cho phép sử dụng, tách khỏi bộ lọc này được lưu giữ trong Registry. Nó nằm tại đường dẫn sau: “HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Safety\ActiveXFilterExceptions”. Bạn có thể trích xuất danh sách này cho một máy tính khác để sử dụng


Bạn có thể Reset lại bộ lọc này bằng cách xóa bỏ lịch sử trình duyệt, vào Tool/Delete Browsing  History ( hoặc tổ hợp Ctrl + Shift + Del), sau đó đánh dấu vào ActiceX Filtering and Tracking Protection data. Việc này sẽ xóa bỏ danh sách những trang web bạn bỏ chặn bởi bộ lọc, tuy nhiên danh sách này sẽ được tái tạo lại mỗi khi bạn truy cập những trang có hỗ trợ ActiveX Filtering.



Mục đích chính khi xây dựng cơ chế cho phép tạo các cửa sổ mới (popup) trong trang Web là để giúp người lập trình Web xây dựng chế độ giao tiếp với người dùng thuận tiện hơn mà không làm mất đi tính trong sáng, nhất quán trong trình bày nội dung trang Web. Tuy nhiên, hiện nay cơ chế này đã bị một số Website chạy theo lợi nhuận sử dụng nhằm hiển thị được càng nhiều thông tin quảng cáo càng tốt. Tệ hại hơn nữa, cơ chế này bị tin tặc sử dụng để ăn cắp các thông tin cá nhân của người sử dụng máy tính. Để vô hiệu hóa tính năng này trong các trình duyệt Web như Internet Explorer, Mozilla, … bạn phải thay đổi một số thông số kiểm soát hoạt động của JavaScript, ActiveX, Plug-in trong trình duyệt.


Với Internet Explorer, sự nguy hiểm nằm ở các chương trình "gián điệp" ActiveX có thể ẩn trong cửa sổ popup, IE có thể tải về ActiveX "gián điệp" và chạy như các ứng dụng Windows khác, và thế là máy tính được "mở cửa sau" để cho kẻ xấu xâm nhập từ xa. Mặc định IE được thiết lập yêu cầu sự chấp nhận của người dùng trước khi tải về và chạy ActiveX từ Internet. Tuy nhiên, thiết lập này có thể bị thay đổi, các chương trình "không mời" có thể xâm nhập và chạy một cách tự động. Vì vậy cần rà soát lại một số thông số kiểm soát hoạt động của ActiveX trong trình duyệt IE.


Kiểm tra như sau: Khởi động trình duyệt IE, nhấn chuột chọn menu Tools/Internet Options. Chọn thẻ Security, nhấn chuột chọn biểu tượng Internet rồi thanh trượt trong mục "Security level for this zone" về mức Medium. Như vậy tất cả các ActiveX chưa rõ nơi sản xuất, nhúng trong trang Web chưa được kiểm chứng an toàn cho người sử dụng sẽ bị vô hiệu hóa, và mỗi khi một ActiveX "nhúng" trong trang Web chạy thì người dùng được trình duyệt cảnh báo trước.

Đoàn Ngọc Thịnh