Microsoft.com
Bem-vindo Entrar
MSDN | Microsoft Developer Network
Clique para classificar e enviar comentários
MSDN
Biblioteca MSDN
Artigos Técnicos
Seguranca
 Ajuste seu site para o Windows XP S...
Ajuste seu site para o Windows XP Service Pack 2

Microsoft Corporation

Julho de 2004

Aplica-se a:
  Controles Microsoft Active X
   Microsoft Internet Explorer
   Microsoft Outlook Express
   Microsoft Windows XP Service Pack 2 (SP2)

Resumo: Melhore o funcionamento do seu site com os novos recursos de segurança do Windows XP SP2 que afetam controles ActiveX, downloads de arquivos, janelas pop-up e muito mais. (7 páginas impressas)

Nesta página

Seu site usa controles Microsoft ActiveX?
Seu site permite que usuários baixem arquivos?
Seu site usa janelas pop-up?
Seu site depende da Microsoft Java Virtual Machine (MSJVM)?
Restrições da janela do navegador
Dicas gerais

Seu site usa controles Microsoft ActiveX?

No Windows XP Service Pack 2 (SP2), o prompt da instalação restrita para controles ActiveX será inicialmente surpimido por meio da Barra de Informações. É feita uma exceção para atualizações de controles que já foram instalados no computador, caso os seguintes critérios sejam observados:

  • O arquivo registrado como controle ActiveX deve estar assinado com a tecnologia Authenticode. (A referência a esse arquivo é feita em HKEY_CLASSES_ROOT\CLSID\{control_clsid}\InProcServer32, onde control_clsid é o CLSID especificado pala marca OBJECT.)
  • O nome do editor na assinatura digital do novo controle corresponde ao nome do editor na assinatura digital do controle existente.
  • Se o controle ActiveX estiver empacotado em um arquivo CAB, esse arquivo deverá ser assinado. O DLL ou OCX a ser instalado deve ser assinado também para que as atualizações subseqüentes contornem a Barra de Informações.

Se a Barra de Informações suprimir um controle ActiveX e o controle ocupar um espaço na página, o Internet Explorer mostrará um ícone in-line e um texto no lugar do controle indicando que o controle ActiveX precisa ser instalado. Usuários finais poderão clicar nessa área ou na Barra de Informações para instalar o controle ActiveX.

O controle ActiveX é um arquivo de gabinete (CAB)?

Se for, fique ciente de que prompts de instalação futuros para atualizar esse controle também serão suprimidos pela Barra de Informações se você não assinar o DLL ou OCX a ser registrado como o controle ActiveX.

O seu site tem um comportamento diferente dependendo de o controle ActiveX estar ou não instalado (por exemplo, redirecionamento automático ou comportamento especial na atualização)?

Algumas páginas da Web redirecionam automaticamente ou se comportam de forma diferente quando atualizadas depois que um controle não está instalado. Em alguns casos, se você construir o site dessa forma, poderá impedir que o usuário instale o controle, causando uma má impressão para ele.

Já que uma página da Web não consegue fazer distinção entre a recusa do usuário em relação à instalação de um controle ActiveX e a supressão do controle pela Barra de Informações, a prática recomendada para instalar um controle ActiveX é criar uma instância do controle em uma página da Web autônoma que explica a finalidade do controle. Também use uma seção < SPAN > na marca < OBJECT > para mostrar dinamicamente o texto da Ajuda ao usuário em caso de falhas na instalação.

Seu site tem imagens da caixa de diálogo Authenticode?

Para impedir que o usuário se confunda, você pode atualizar essas imagens de modo a refletir a nova interface do usuário (UI) do Authenticode. Você pode usar a seqüência do agente do usuário para determinar a versão correta do navegador. (Consulte Dicas gerais para obter mais informações sobre como detectar o SP2).

A caixa de diálogo Instalação do ActiveX impede que o controle seja instalado?

Se a caixa de diálogo não fornecer uma opção para instalar o controle ActiveX, o arquivo poderá não estar assinado corretamente. Assegure-se de que você assinou o arquivo e de que a assinatura ainda é válida. Por padrão o SP2 agora bloqueia a instalação de um controle ActiveX quando a assinatura é inválida.

Práticas recomendadas do ActiveX

  • Não instale os controles ActiveX usando uma janela pop-up ou uma caixa de diálogo HTML.
  • Não sugira que os usuários diminuam suas configurações de segurança para instalar um controle ActiveX.
  • Crie uma instância do controle ActiveX em uma página autônoma descrevendo a finalidade e o impacto do controle sobre o usuário final.

Seu site permite que usuários baixem arquivos?

No SP2, a Barra de Informações suprimirá os prompts de download de arquivos que são iniciados automaticamente.

No SP2, os prompts usados para downloads de arquivos, anexos de email, execução de processo shell e instalação de programas foram modificados e ficaram mais consistentes e claros do que aqueles do Windows XP Service Pack 1 (SP1). No SP2 as informações do editor serão mostradas após o download de um tipo de arquivo que pode ser assinado e anda assim ter o potencial de danificar o computador do usuário. (Exemplos comuns de tipos de arquivos que podem ser assinados e que têm o potencial de danificar o computador do usuário são .exe, .dll, .ocx, .msi).

Seu site inicia prompts de download automáticos?

Um prompt de download de arquivo será suprimido pela Barra de Informações se um site tentar navegar para um recurso que possa resultar na exibição de uma caixa de diálogo de download de arquivo, caso o usuário não tenha iniciado a navegação com um clique do mouse ou pelo teclado.

Para garantir que os downloads não sejam suprimidos, você pode fazer com que todos os downloads resultem de uma ação direta do usuário.

Seu site contém arquivos com extensões que não correspondem a seus Content-Type?

Se seu site serve arquivos que são controlados por manipuladores MIME, as extensões desses arquivos deverão corresponder ao mesmo ProgID que o manipulador MIME. Se o Content-type ProgID de um arquivo não corresponder à extenção ProgID do arquivo, o Internet Explorer do XP SP2 poderá tomar as seguintes medidas: 1) solicitar o download do arquivo ao usuário e 2) não executar o arquivo no manipulador da extensão se houver falha em sua execução no manipulador MIME.

Você pode corrigir essas incompatibilidades alterando o tipo de conteúdo para que ele corresponda à extensão de arquivo. Certifique-se de que o mesmo se aplique a suas páginas da Web.

Exceção: Essa alteração não afeta casos onde um cabeçalho "content-disposition=attachment" é enviado. Nesses casos, o nome de arquivo ou extensão sugeridos pelo servidor são considerado finais e não são alterados com base no sniffing MIME (Multipurpose Internet Mail Extensions).

Seu site tem imagens da caixa de diálogo de download ou imagens/texto que mostram onde clicar para aceitar o controle?

Certifique-se de que você atualizou todas as imagens que apontam para prompts de download para refletir as novas caixas de diálogos se o cliente estiver usando o Windows XP Service Pack 2. Para determinar a versão da imagem a ser mostrada, é possível usar a seqüência do Agente do Usuário no Internet Explorer (consulte Dicas gerais para obter mais informações sobre como detectar o SP2).

Seu site possui downloads que devem ser assinados digitalmente?

O SP2 agora verifica a assinatura digital de arquivos que podem ser assinados digitalmente. Os exemplos mais comuns desses arquivos incluem as seguintes extensões: .exe, .dll, .cab, .ocx, and .msi. Se você for o editor de arquivos que possam ser assinados com tecnologia Authenticode, agora seus clientes poderão verificar se você mesmo criou os arquivos. Isso se aplica ao Internet Explorer e ao Outlook Express.

Seu site usa janelas pop-up?

O Internet Explorer inclui um bloqueador de pop-ups que é ativado por padrão no SP2. Esse bloqueador de pop-ups pode interferir em sites que gerem automaticamente novas janelas a partir de script. O bloqueador de pop-ups inclui uma lista de permissões que pode ajudar em casos onde pop-ups automáticos sejam necessários. Por padrão, o bloqueador de pop-ups não tentará bloquear os pop-ups iniciados a partir da Intranet ou das zonas Sites Confiáveis.

O que é considerado janela pop-up para o Internet Explorer?

O Internet Explorer tentará bloquear todas as janelas abertas automaticamente a partir de scripts, com exceção da createPopup() . Algumas funções comuns que são afetadas incluem window.open(), showModelessDialog(), showModalDialog() e showHelp() . (Observação: a abertura automática do painel de pesquisa também é bloqueada devido às restrições do bloqueio de pop-ups).

A abertura de uma janela pop-up como resultado direto de uma ação do usuário (ex.: clicar em um elemento da página) não será bloqueada. O bloqueio de pop-ups não se aplica por padrão à Intranet e às Zonas Sites Confiáveis.

Como posso saber se o Internet Explorer bloqueou minha janela pop-up?

Funções que retornam um objeto da janela retornarão nulos se a janela estiver bloqueada. Sempre verifique o valor de retorno de window.open() antes de usá-lo para evitar erros de script quando os pop-ups forem bloqueados.

Seu site redireciona ou fecha uma página com base em um pop-up bloqueado?

Sempre que possível, não redirecione nem feche as janelas com base no conteúdo bloqueado. Se o site redireciona para um site diferente quando um pop-up é bloqueado, pode ser mais difícil para o cliente mostrar o pop-up bloqueado. O site redirecionado não exibirá a Barra de Informações que aparece normalmente para facilitar o acesso dos clientes ao pop-up nesse caso.

De modo similar, se uma janela é fechada devido a um pop-up bloqueado, o ponto de entrada da Barra de Informações que mostra o pop-up bloqueado desaparece junto com a janela.

Seu site abre um pop-up a partir de outro pop-up?

Sempre que possível, não abra uma janela pop-up automática a partir de outra janela pop-up. A segunda abertura não será considerada uma ação do usuário para o bloqueador de pop-ups e será bloqueada.

Você abre a caixa de diálogo setHomePage() automaticamente?

No Windows XP Service Pack 2, a função setHomePage() pode ser iniciada apenas a partir de uma ação do usuário de forma parecida com as janelas pop-up. Os prompts de setHomePage() iniciados automaticamente serão fechados.

Seu site abre uma nova janela quando a informação é solicitada de forma assíncrona?

O Internet Explorer pode bloquear determinadas janelas que são abertas pelo site depois de solicitar informações de forma assíncrona mesmo se o usuário tiver clicado em um link para abrir a janela. As janelas não são bloqueadas quando são abertas diretamente por uma ação iniciada pelo usuário (um clique do mouse) antes de solicitar informações de forma assíncrona. Ações iniciadas pelo usuário não persistem pelas navegações.

Seu site abre janelas pop-up por meio de controles ActiveX ou outros objetos na página?

Como outras janelas pop-up, se a janela não é iniciada por uma ação do usuário, o bloqueador de pop-up a bloqueia. A abertura de uma janela será permitida em resposta a uma ação direta do usuário.

Recomendações gerais sobre pop-ups

  • Não redirecione em caso de falha da janela de pop-up.
  • Não feche nem redirecione automaticamente as janelas do navegador se uma janela de pop-up, um download ou um controle ActiveX for suprimido. Se você fizer isso, o usuário não poderá clicar na Barra de Informações e aceitar a janela pop-up, o download ou o controle ActiveX.
  • Não abra uma janela pop-up a partir de outra janela pop-up.
  • Não abra várias janelas pop-up a partir de uma única ação do usuário.
  • Não abra janelas pop-up automáticas a partir das chamadas showModelessDialog() ou showModalDialog().

Seu site depende da Microsoft Java Virtual Machine (MSJVM)?

Consulte Microsoft Java Virtual Machine Support no site da Microsoft

Restrições da janela do navegador

Seu site posiciona as janelas de modo que a barra de título ou de endereço fique acima da parte superior visível da tela, ou a barra de status fique abaixo da parte inferior visível da tela?

Reveja seu código para garantir que você entendeu as restrições implementadas para janelas iniciadas por script usando os métodos window.open() ou window.createPopup() . O script pode usar os mesmos métodos para a criação de uma janela chrome do Internet Explorer (usando o método window.open() ) ou de uma janela pop-up chromeless do Internet Explorer (usando o método window.createPopup() ). No entanto, é possível que o design precise ser revisado para garantir que as janelas pop-up estejam visíveis para o usuário e que a barra de status contenha informações precisas.

As diretrizes a seguir são para trabalhar com chamadas de janelas iniciadas por scripts em um processo que executa o recurso Windows Restrictions Security.

Para abertura de janelas usando window.open() :

  • Espere a barra de status aparecer e digite o código para ela. A barra de status será ativada por padrão e tem 20-25 pixels de altura.
  • Ajuste o tamanho da janela e do conteúdo para que ele se adeqüe bem visualmente no tamanho geral da janela. A janela não cubrirá a barra de tarefas, por isso ela pode perder 40 pixels se a barra de status estiver ativada e a barra de tarefas não for contabilizada. Dimensione a janela verticalmente não mais do que 30 pixels.
  • Não abra janelas fora da tela -- elas serão movidas pelo menor deslocamento das coordenadas X e Y que permite que a janela seja exibida por completo na tela.
  • Como antes, a exibição da janela será afetada pelo tema da exibição, tamanho da fonte e resolução, assim é possível que você precise contar com essas influências da UI quando projetar suas janelas.
  • Observação: window.open() com fullscreen=yes resultará agora em uma janela maximizada e não em uma janela de modo quiosque.

Para abertura de janelas usando window.createPopup() :

  • Ajuste o tamanho da janela e do conteúdo para que eles ses adeqüem bem visualmente no tamanho geral da janela. Com esse novo recurso, a janela não cobrirá a barra de título ou de status de sua janela pai, assim ela deve perder 40 pixels se as barras de título e de status não forem contabilizadas. Dimensione a janela verticalmente para não ultrapassar a área da página visível no momento.
  • Não abra as janelas chromeless fora da superfície de processamento HTML do Internet Explorer — elas serão movidas pelo menor deslocamento das coordenadas X e Y que permite que a janela seja exibida por completo dentro da área cliente. Há uma exceção: até a metade da janela pode ficar fora da borda esquerda ou direita da área cliente do Internet Explorer.
  • Como antes, a exibição da janela será afetada pelo tema da exibição, tamanho da fonte e resolução, assim é possível que você precise contar com essas influências da UI quando projetar suas janelas.

Dicas gerais

Detectando o Internet Explores no SP2

Você pode usar o window.navigator.userAgent para detectar se o navegador conctado a seu site é o Internet Explorer no SP2.

var g_fIsSP2 = false;
function browserVersion()
{
g_fIsSP2 = (window.navigator.userAgent.indexOf("SV1") != -1);
if (g_fIsSP2)
{
//This browser is Internet Explorer in SP2.
}
else
{
//This browser is not Internet Explorer in SP2.
}
)

Se a seqüência do agente do usuário contiver "SV1", o navegador conectado a seu site é o Internet Explorer no SP2.

Seu site usa as chamadas showModelessDialog() ou showModalDialog()?

Tente não criar uma nova instância de um controle ActiveX, não iniciar automaticamente downloads de arquivos nem abrir automaticamente janelas pop-up a partir dessas caixas de diálogo, se possível. A Barra de Informações não será exibida quando o conteúdo estiver suprimido nesse cenário e não será fácil para o usuário permitir o conteúdo. A operação sugerida é iniciar esses comportamentos a partir da janela do Internet Explorer.

Seu site redireciona para uma outra página da Web quando o conteúdo está bloqueado?

Tente não redirecionar para uma outra página da web quando o navegador suprimir um conteúdo como controles ActiveX, prompts de download ou pop-ups, se possível. A Barra de Informações pode não aparecer na página redirecionada quando o conteúdo estiver suprimido e é possível que o usuário tenha dificuldades para visualizar o conteúdo.

© 2012 Microsoft. Todos os direitos reservados. Termos de Uso | Marcas Comerciais | Política de Privacidade
Page view tracker