После выхода Internet Explorer Beta2 нововведения часто обсуждались на многочисленных ресурсах, в том числе на Хабре, которые в основном касались интерфейса и дополнительных инструментов для пользователя.
Таких нововведений довольно много, включая ускорители, измененную строку ввода адреса, группировку вкладок, продвинутый инструмент для разработчиков и многое другое.
Также достаточно широко обсуждаются изменения в браузере в части рендеринга страниц, в том числе и то, что во многом этот механизм пишется для восьмой версии с нуля.
Все это конечно интересно и значимо, но цель данной статьи — собрать информацию о возможностях безопасности нового браузера.
Введение
Не так давно, 29 августа, в блоге MSDN IEBlog Опубликована статья «Надежный просмотр с помощью IE8: Резюме».Статья довольно обширно компилирует предыдущие статьи, посвященные безопасности в IE. В этой статье я не собираюсь переводить все статьи; для меня это слишком большая работа, и я не считаю это необходимым.
Статьи написаны доступным языком и их может прочитать любой желающий.
В этой статье я попытаюсь кратко обобщить основные изменения в функциях безопасности в IE.
Содержание
- защита памяти с помощью DEP/NX;
- улучшения ActiveX;
- фильтр SmartScreen;
- XSS-фильтр;
- общая защита.
Защита памяти с помощью DEP/NX
Функция «Включить защиту памяти для снижения риска онлайн-атак» также доступна в седьмой версии браузера, но по умолчанию она не включена.Правда, эта функция недоступна на 64-битных платформах, но только потому, что все процессы в 64-битных версиях Windows защищены с помощью DEP. Теперь эта функция будет включена по умолчанию.
Напомню, что DEP/NX позволяет предотвратить выполнение кода, помеченного как данные.
Таким образом отсекается целый пласт атак, таких как переполнение буфера.
Улучшения ActiveX
В восьмой версии Internet Explorer элементы ActiveX могут быть установлены только для конкретного пользователя (Per-User ActiveX), что снижает риск заражения, учитывая, что пользователь не работает с правами администратора.В этом случае риску подвергается только профиль одного пользователя и больше ничего.
Per-Site ActiveX — это новая технология, позволяющая настроить выполнение элемента ActiveX только на одном сайте (вашем) и нигде больше.
Пользователь также может разрешить использование, скажем, Silverlight, только на том сервере, где он был необходим впервые.
Как и все остальное, управление механизмом установки ActiveX будет доступно администраторам посредством групповых политик.
Фильтр SmartScreen
SmartScreen — это новая функция защиты от фишинга в Internet Explorer, которая расширяет возможности фильтра фишинга, который использовался в предыдущих версиях браузера.Вот список основных изменений:
- улучшенный интерфейс;
- улучшенная производительность;
- новая эвристика, улучшенная телеметрия;
- поддержка защиты от вредоносных программ;
- улучшенная поддержка посредством групповых политик.
То же окно, но только с переходом на опасный сайт, запрещенный администратором:
Следующее окно будет показано, если Internet Explorer определит, что загрузка файла будет из опасного источника:
В редких случаях пользователь может увидеть следующее окно, предупреждающее пользователя о подозрительных сайтах:
XSS-фильтр
Самым интересным нововведением, на мой взгляд, является встроенный XSS-фильтр, позволяющий защитить пользователя от атак «Межсайтового скриптинга».Чтобы хотя бы примерно оценить угрозу от XSS-атак, можно зайти на XSSed.com и посмотреть, какие государственные ресурсы подвержены этим атакам.
Любой пользователь потенциально может стать жертвой, просто зайдя на эти ресурсы, и сейчас количество обнаруженных таких «утечочных» сайтов уже превысило 20 тысяч.
XSS-фильтр Internet Explorer 8 направлен против так называемых XSS-атак.
тип Тип 1 .
По информации из Википедии, атаки такого типа являются наиболее распространенными.
Для тех сайтов, которые по каким-то причинам не хотят разрешать пользователю включать XSS-защиту на своих ресурсах, в HTTP-заголовках доступна опция: X-XSS-Защита: 0 .
Это может понадобиться тем, кто использовал в своих проектах техники, подобные XSS-атакам.
Общая защита
Помимо защиты от xss-атак, новая версия браузера также будет поддерживать следующие методы и технологии защиты:- Поддержка обмена сообщениями между документами HTML5 ( Обмен сообщениями между документами HTML5 );
- новый объект XDomainRequest для передачи данных между доменами;
- новая функция toStaticHTML, которая позволит вам избежать внедрения опасного кода на страницы путем форматирования html-тегов, эта функция делает то же самое, что описано Здесь функции библиотеки Microsoft Anti-Cross Site Scripting Library;
- Internet Explorer 8 реализует функции ECMAScript 3.1 для работы с JSON. Для обеспечения безопасности объект для работы с JSON содержит функцию разбора, которая, как и toStaticHTML, надежно форматирует потенциально опасный текст;
- в новой версии Internet Explorer браузер содержит улучшения в т.н.
Механизм перехвата MIME. Эта функциональность позволяет браузеру определять содержимое страницы не по «типу контента», а по содержанию.
Часто это определение допускало внедрение опасного кода.
Теперь, например, при использовании «content-type: image/*» встроенный HTML-код или код сценария не будет отображаться.
Для управления фильтром разработчик может использовать новый параметр авторитетный и укажите «Тип контента: text/plain; авторитетный=true;» и в этом случае IE8 не будет пытаться определить тип контента, отображая его, как указано в «Content-Type»;
- новые параметры для HTTP-заголовков X-Download-Options: noopen и Content-Disposition: Attachment; filename=untrustedfile.html позволяет заставить браузер сохранять содержимое вместо его отображения.
Это может понадобиться в тех случаях, когда веб-приложению необходимо предоставить пользователю страницу с небезопасным содержимым.
Если он сохранен на клиенте, а затем открыт, такие страницы не будут работать в контексте сервера, что оставит его в безопасности;
- в элементе управления загрузкой файлов в целях безопасности статус поля ввода теперь изменен на «только для чтения».
Вдобавок к этому, с той же целью IE8 теперь не будет отправлять полный путь к файлу, вместо этого будет отправляться только его имя;
- Internet Explorer 8 также содержит некоторые методы противодействия атакам с использованием социальной инженерии; для примера я приведу два скриншота правильного
и неправильный PayPal.
Заметно, что настоящие доменные имена выделены более темным текстом.
Заключение
В статье обсуждается несколько новых механизмов безопасности в Internet Explorer 8. Некоторые из них показались мне весьма существенными, другие — менее.Самый интересный механизм — XSS-фильтр, очень своевременный прием, очень актуальный сегодня.
В целом объем работы над безопасностью нового браузера лично меня впечатляет. Восьмая версия определенно сделает значительно больший шаг в плане безопасности, чем все ее предшественники.
Теги: #IE #безопасность #Internet Explorer
-
Логика Инструментов Конвертации Pdf В Word
19 Oct, 24 -
Установка Linux На Калькулятор. Часть Ii
19 Oct, 24 -
Asp.net Mvc Против Веб-Форм
19 Oct, 24
