itasistenta blog

Scripturile Web sunt secvenţe de cod scrise în limbajele VBScript (Microsoft Visual Basic Scripting Edition) sau Javascript, create pentru a aduce dinamism unei pagini Web (atunci când este afişată de browser) sau pentru a efectua diverse operaţii atunci când sunt asociate unor controale ActiveX.

Editarea scripturilor Web se face cu programul Microsoft Script Editor inclus în suita Office şi disponibil din meniul Tools -> Macro -> Microsoft Script Editor. Programul permite previzualizarea paginii ca într-un browser, editarea codului HTML, inserarea de marcaje (tags) şi scripturi VBScript.

Securitatea la nivelul scripturilor Web vizează atât posibilul cod nociv inclus în documentul curent (pagina Web), cât şi fişierele legate de acesta, ale căror vulnerabilităţi sau acţiuni maliţioase pot avea efecte nedorite: colectarea informaţiilor personale, distrugerea/ştergerea datelor din computer, instalarea unor programe fără consimţământul utilizatorului sau obţinerea de către o persoană rău intenţionată, de la distanţă, a controlului asupra computerului.

Avertizările se referă la applet-urile Java, fişierele script externe (extensia .js), controalele ASP.NET sau orice alt tip de fişier legat de pagina respectivă: acestea trebuie să provină din surse sigure.

Controalele ActiveX (inserate din bara de butoane Control Toolbox) îmbunătăţesc formularele completate în Word atât prin existenţa unor noi tipuri de câmpuri (comparativ cu formularele tipice – Forms), cât mai ales prin posibilitatea de a executa macrocomenzi VBA (Visual Basic for Applications) sau scripturi Web prin care se automatizează diferite acţiuni. Macrocomenzile sunt scrise în limbaj VBA (Microsoft Visual Basic for Applications) cu programul Microsoft Visual Basic, iar scripturile Web în limbaj Javascript sau VBScript (Microsoft Visual Basic Scripting Edition) cu programul Microsoft Script Editor. Dacă documentul va fi realizat ca pagină Web este indicat să se scrie scripturi pentru controalele ActiveX în locul macrocomenzilor.

Aceste controale sunt nesigure pentru că introduc un risc suplimentar privitor la securitatea documentului. De aceea, controalele marcate ca UFI (Unsafe for Initialization) nu sunt încărcate de Office decât cu acordul utilizatorului, care le va activa din fereastra de avertizare apărută la deschiderea fişierului.

Setările de securitate pentru serverul Web trebuie să ţină cont de existenţa acestor controale ActiveX şi să permită rularea lor. Browserul Internet Explorer restricţionează (conform setărilor de securitate stabilite din meniul Tools -> Internet Options |Security|) deschiderea paginilor cu controale ActiveX sau scripturi care nu provin din surse sigure.

Protecţie Internet Explorer la controale ActiveX

Meniu:
Tools -> Options | Security -> Macro Security
Tools -> Macro -> Security

Macrocomenzile sunt secvenţe de comenzi scrise în limbajul VBA (Visual Basic for Applications) folosite pentru executarea automată a unor activităţi. În general macrocomenzile sunt utilizate în scopul legitim pentru care au fost create: automatizarea etapelor, economie de timp sau obţinerea unor rezultate în urma rulării unui cod de program complex, care nu ar putea fi obţinute prin meniuri sau opţiuni puse direct la dispoziţie de interfaţa Microsoft Office. Datorită spectrului larg de utilizare, unele macrocomenzi pot avea uneori şi acţiuni rău intenţionate, fiind asociate programelor tip malware.

Securitatea la nivelul macrocomenzilor se realizează prin:

- stabilirea unui nivel de securitate (Security Level) – există 4 niveluri de securitate:

• foarte ridicat (Very High) – se execută doar macrocomenzile instalate în amplasările de încredere (Trusted Path), celelalte (semnate sau nesemnate digital) fiind dezactivate;
• ridicat (High) – se execută doar macrocomenzile semnate digital provenite de la surse de încredere;
• mediu (Medium) – utilizatorul poate alege dacă se execută potenţialele macrocomenzi nesigure;
• scăzut (Low) – nu oferă niciun nivel de protecţie la macrocomenzi; în general nu este recomandat.

- definirea editorilor de încredere (Trusted Publishers) – doar dezvoltatorii de macrocomenzi sau add-in (programe care adaugă facilităţi suplimentare suitei Office) semnate digital pot fi adăugaţi în această listă. Pentru a dezactiva total macrocomenzile din şabloanele sau modulele deja instalate se debifează opţiunea Trust all installed add-ins and templates din tab-ul Trusted Publishers.

Meniu:    Tools -> Options | Security -> Digital Signatures

Semnăturile digitale sunt marcaje electronice de autentificare, criptate, prin care se confirmă pentru orice document Office sau un element al acestuia (în special macrocomenzi şi scripturi Web, dar şi şabloane, add-in etc.):

• identitatea autorului (semnatarului);
• autenticitatea documentului (elementului) – faptul că nu a fost alterat.

Semnătura digitală nu garantează pentru o macrocomandă că este sigură, ci doar sursa ei şi integritatea.

Semnătura digitală este realizată printr-un certificat digital care poate fi emis de:

• autorităţi de certificare (CA – Certification Authority) recunoscute la nivel mondial (furnizori comerciali de certificate digitale). Rolul acestora este de a menţine o listă publică a certificatelor, care este automat verificată la deschiderea unui document semnat sau poate fi oricând consultată. Exemple de autorităţi de certificare: VeriSign (internaţional), CertSIGN, DIGISIGN – pentru România.
• chiar de autor prin auto-semnare (“Self-Signed“). Autoritatea de certificare (CA) este în acest caz însuşi autorul, urmând ca acesta să fie contactat direct de persoanele interesate de validarea certificatului digital. Pentru auto-semnare se poate folosi aplicaţia Selfcert.exe – pentru certificate de uz intern.

Certificatul digital este un fişier ataşat unui document sau mesaj e-mail care:

• garantează autenticitatea acestuia (faptul că provine de la cel care se declară autorul său);
• asigură criptarea securizată (cu chei publice);
• furnizează o semnătură electronică verificabilă.

Un certificat digital conţine, printre alte informaţii:

• numele autorului, adresa e-mail, organizaţia din care face parte şi ţara;
• lungimea cheii (1024 sau 2048 biţi), algoritm RSA;
• perioada de valabilitate a certificatului.

În funcţie de nivelul de securitate ales, în urma evaluării certificatului digital utilizatorul poate aproba deschiderea documentului sau executarea macrocomenzii. Certificatele auto-semnate, fiind considerate neautentificate (neoficiale), vor genera o fereastră de avertizare la deschidere dacă nivelul de securitate este stabilit mai sus de mediu (Medium).

Certificatele digitale sunt stocate şi organizate logic în “Certificate Store” astfel încât să fie disponibile şi altor aplicaţii. Aceste locaţii reunesc atât propriile certificate, cât şi certificatele provenite de la diverse autorităţi sau alte aplicaţii.

Meniu: Tools->Options | Security |

Aici nu este vorba despre conţinutul efectiv al documentului, ci despre informaţiile suplimentare salvate într-un document Word (autor, comentarii sau modificări). Opţiunile de protecţie a informaţiilor dintr-un document Word sunt:

- Remove personal information from file properties on save – elimină anumite informaţii ascunse care ar fi fost salvate în fişier, împreună cu documentul efectiv (de exemplu numele autorului sau numele utilizatorilor care au făcut comentarii sau modificări în document). Opţiunea este utilă dacă nu se doreşte răspândirea acestor informaţii când documentul este distribuit în masă.

- Warn before printing, saving, or sending a file that contains tracked changes or comments – avertizează utilizatorul înainte de tipărirea, salvarea sau distribuirea unui document care conţine urmăriri ale modificărilor (track changes) sau comentarii. În acest mod se minimizează riscul de partajare accidentală a unor informaţii personale.

- Make hidden markup visible when opening or saving – opţiune care afişează versiunea finală, revizuită, a documentului, chiar dacă anumite comentarii, adnotări sau unele acţiuni au fost făcute să nu fie vizibile.

Meniu: Tools->Protect Document

Word 2003 permite restricţionarea editării anumitor elemente componente ale unui document (deschiderea documentului este în continuare posibilă, însă cu anumite limitări în ceea ce priveşte modificarea). Există următoarele posibilităţi de restricţionare:

• doar anumite stiluri (Styles), specificate explicit, pot fi aplicate textului;
• se permit doar modificări în urmărirea modificărilor (Tracked changes);
• se permit doar modificări ale comentariilor (Comments)
• se permite doar completarea formularelor (Filling in forms);
• tot documentul este protejat la modificare (Read only)

Protecţiile la modificarea comentariilor sau a întregului document acceptă unele excepţii: se pot specifica (selecta) zonele în care aceste restricţii nu sunt valabile (este permisă editarea integrală)  şi utilizatorii (conturile) care au acest drept de editare. În acest caz zonele permise pentru editare utilizatorului curent sunt indicate între [ ];

Toate aceste restricţii pot fi protejate printr-o parolă (dacă se cunoaşte parola, aceste restricţii pot fi eliminate). Documentul restricţionat la anumite tipuri de modificări nu este criptat.

Meniu:    Tools->Options | Security | Password to modify
Opţiune: Tools->Options | Security | Read-only recommended

Se poate considera că cele două tipuri de protecţie sunt utile atunci când se partajează documentul cu mai mulţi utilizatori, deoarece ele nu restricţionează (interzic) accesul la conţinutul documentului, ci încearcă să protejeze documentul original.

Protecţia documentului la modificare permite deschiderea documentului, însă acesta nu va putea fi salvat peste versiunea existentă decât dacă se cunoaşte parola de modificare. Salvarea documentului se poate face alegând alt nume pentru fişier sau, dacă se doreşte acelaşi nume, se poate salva în alt folder (şi apoi eventual copia peste fişierul protejat la modificare, dacă utilizatorul are drepturi de ştergere şi scriere în acel folder).

Deschidere doar în citire (Read Only) este o opţiune prin care se recomandă deschiderea documentului pentru citire (modificarea nu va fi permisă, pentru a se evita suprascrierea conţinutului iniţial). Utilizatorul poate fi de acord cu această recomandare sau o poate ignora.

Meniu: Tools->Options | Security | Password to open

Documentul Word astfel salvat (cu o parolă la deschidere) va fi criptat, iar conţinutul său nu va putea fi accesat decât dacă se cunoaşte parola de deschidere. Parola are o lungime implicită maximă de 15 caractere (litere, cifre, spaţii şi simboluri). Pentru parole mai lungi (maxim 255 de caractere, care conferă o securitate sporită a documentului) se pot alege din algoritmii puşi la dispoziţie de Office:

• Weak Encryption (XOR)
• Office 97/2000 Compatible
• RC4, Microsoft Base Cryptographic Provider 1.0
• RC4, Microsoft Base DSS and Diffie-Hellman Cryptographic Provider
• RC4, Microsoft Base DH SChannel Cryptographic Provider
• RC4, Microsoft Enhanced Cryptographic Provider v1.0
• RC4, Microsoft Enhanced DSS and Diffie-Hellman Cryptographic Provider
• RC4, Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype)
• RC4, Microsoft RSA SChannel Cryptographic Provider
• RC4, Microsoft Strong Cryptographic Provider

Cu excepţia primilor 2 algoritmi, ceilalţi permit alegerea lungimii cheii de criptare (pe 40-56 biţi sau 40-128 biţi, în funcţie de tipul lor) şi criptarea proprietăţilor documentului (pentru o discreţie maximă a datelor conţinute).

Recuperarea parolei la deschidere (de exemplu, dacă aţi uitat parola unui document) este totuşi posibilă prin utilizarea unor programe speciale care folosesc metodele dictionary attack sau brute force attack. Cu cât parola este mai complexă, cu atât timpul de decodificare este mai mare.

Meniu:
Tools->Options | Save | Save data only for forms
Save data only for forms (din fereastra Save / Save as, buton Tools -> Save Options)

Este posibilă salvarea opţiunilor exprimate la completarea unui formular (form) în Word pentru a fi ulterior importate în alte programe specializate pentru prelucrarea datelor (salvare ca bază de date, sortare, creare grafice şi rapoarte).

Prin bifarea opţiunii Save data only for forms se vor salva doar informaţiile introduse în formular (conţinutul casetelor text şi opţiunile introduse în casetele de selectare sau casetele derulante). Datele vor fi separate prin “;” şi se vor salva implicit într-un fişier text simplu (Plain Text), însă se pot alege şi alte formate uzuale (.doc, .rtf, .html, .xml). Avantajul oferit de formatul text (.txt) este că poate fi deschis cu uşurinţă în alte programe (Microsoft Excel, Microsoft Access, dar şi în programe ale altor producători) şi convertit în formatele corespunzătoare (tip .xls – Foaie de lucru Excel sau .mdb – Bază de date Access).

O atenţie specială la salvare trebuie acordată tipului de codare a fişierului text, atunci când datele conţin simboluri sau caractere speciale (de exemplu, diacritice). În acest caz este indicat să se aleagă o codare Unicode pe 8 biţi (UTF-8), format acoperitor pentru toate simbolurile existente. Când codarea implicită nu acoperă toate simbolurile introduse în casetele text ale formularului, aceste caractere vor fi evidenţiate cu roşu. Alegerea unei codări improprii va duce la pierderea caracterelor evidenţiate.

Bară de butoane: Web Tools

Formularele Web sunt utilizate în paginile de pe Internet pentru interacţiunea cu utilizatorii: ele conţin diverse câmpuri (controale) care sunt completate de către utilizator şi trimise unui server Web care interpretează, stochează şi prelucrează datele trimise sau cererile. Exemple tipice de formulare: căutarea unor informaţii într-o bază de date, completarea unui chestionar, comenzi online etc.

Într-o pagină Web pot exista mai multe formulare independente, cu acţiuni diferite. În Word, ele sunt delimitate vizual prin două zone care marchează începutul (Top of Form) şi sfârşitul (Bottom of Form) unui formular. Aceste margini sunt invizibile la tipărit sau la vizualizarea paginii în browser, însă vor fi folosite pentru identificarea formularului în codul HTML (corespunzătoare marcajelor <form>…</form>).

Controalele standard disponibile pentru un formular Web sunt:

Check Box
Option Button
Drop-Down Box
List Box
Text Box
Text Area
Submit
Submit with Image
Reset
Hidden
Password
Movie
Sound
Scrolling Text

Fiecare tip de control are proprietăţi care se pot modifica, după cum urmează:

- proprietăţi comune tuturor controalelor:

• Name (nume în document);
• HTMLname (nume în pagina Web);
• Value (valoarea implicită);
• Width, Height (dimensiuni).

- proprietăţi particularizate în funcţie de tipul controlului

• Checked (True – controlul este implicit bifat)
• Caption (textul de pe un control tip Submit sau Reset)
• DisplayValues, MultiSelect, Selected (pentru control tip Drop-Down Box sau List Box)

Prezenţa controlului tip Submit este obligatorie pentru transferul datelor din formular către serverul Web sau rularea unui script local.

Bara de butoane Web Tools mai pune la dispoziţia utilizatorului următoarele butoane utile în lucrul cu formulare Web:

- Design Mode – comută în modul de editare a formularului Web, în care sunt posibile:

• plasarea unor noi controale;
• mutarea controalele existente;
• vizualizarea şi modificarea proprietăţilor pentru controale;

- Microsoft Script Editor – lansează programul cu acelaşi nume, folosit pentru introducerea sau editarea codului HTML sau secvenţei de program (script) asociat fiecărui control.

Dată fiind dezvoltarea aplicaţiile pe Web, este recomandabilă crearea unui formular pe Web în detrimentul formularelor completate în Word, datorită următoarelor avantaje:

• mult mai accesibile şi prietenoase, fiind completate online. Distribuirea formularelor Web este rapidă (nu este nevoie de descărcarea documentului, deschidere în Word, completare, salvare şi retrimitere înapoi prin e-mail sau alt mecanism). Pentru formularul pe Web sunt suficiente accesarea paginii respective şi un singur clic pe butonul Submit pentru a trimite datele.
• accesibile tuturor utilizatorilor, indiferent de platforma hardware (PC, Mac, dispozitive mobile – smartphone, Blackberry, iPhone, tablete PC) sau software (Windows, Linux) folosite.
• format mai consistent, care garantează descărcarea corectă a datelor. Completarea unui formular Word necesită ca utilizatorul să aibă instalat programul Microsoft Word şi să returneze documentul completat fără a altera formatul sau datele introduse.
• raporturi şi analize mai flexibile, prin salvarea într-o bază de date şi manipularea informaţiilor (formate de afişare, calcule matematice, alte moduri de analiză şi prelucrare). Formularele completate în Word trebuie salvate unul câte unul şi importate apoi individual.