Нові механізми забезпечення безпеки в IE 8, Різне, Інтернет-технології, статті

Після виходу Internet Explorer Beta2 на численних ресурсах, включаючи Хабра, часто обговорювалися нововведення, які стосуються в основному інтерфейсу та додаткових інструментах для користувача. Таких нововведень досить багато, тут і акселератори і змінена рядок введення адреси і угруповання табів і просунутий інструмент для розробників багато іншого. Так само досить широко обговорюється зміна в браузері в плані рендеринга сторінок, у тому числі той факт що багато в чому цей механізм пишеться для восьмий версії з нуля. Все це звичайно цікаво і значно, але метою даної статті ставиться компіляція відомостей про засоби безпеки нового браузера.

Введення


Не так давно, 29 серпня, на блозі MSDN IEBlog була розміщена стаття “Безпечна навігація з IE8: Узагальнення інформації “(Trustworthy Browsing with IE8: Summary). У досить великій формі у статті скомпільовані попередні статті, що стосуються ставлення до безпеки в IE. У цій статті я не збираюся перекладати всі статті, для мене це непідйомна робота, та й не вважаю, що це необхідно. Статті написані доступною мовою і кожен бажаючий може з ними ознайомитися. В цій статті я спробую у короткій формі викласти інформацію про основні зміни в елементах безпеки в IE.


Зміст




Захист пам’яті засобами DEP / NX


Функція “Увімкнути захист пам’яті для зниження ризику атаки з інтернету” доступна і в сьомій версії браузера, але вона не включена за замовчуванням. Правда, на 64-бітних платформах цієї функції немає, але тільки тому, що всі процеси в 64-бітових версіях Windows захищені через DEP. Тепер же, дана функція буде включена за замовчуванням. Нагадаю, що DEP / NX дозволяє запобігти виконання коду, які позначено як дані. Таким чином відсікається цілий пласт атак таких як переповнення буферу.


Покращення в ActiveX


У восьмій версії Internet Explorer елементи ActiveX можуть бути встановлені тільки для певного користувача (Per-User ActiveX), що знижує ризик зараження, при врахуванні того, що користувач не працює під правами адміністратора. У цей випадку під ударом знаходиться тільки профіль одного користувача і нічого більше.
Per-Site ActiveX – нова техніка, яка дозволяє задати елементу ActiveX можливість виконання тільки але одному єдиному (вашому власному) сайті і ніде більше. Користувач також може дозволити використання, скажімо Silverlight, тільки на тому сервері, де він перший раз знадобився. Як і все інше, управління механізмом установки ActiveX буде доступно для адміністраторів через групові політики.


Фільтр SmartScreen ®


SmartScreen ® – це нова функція Internet Explorer проти фішингу, яка розширює фішинг-фільтр, який був у попередніх версіях браузера. Ось список основних змін:


Я наведу деякі скріншоти з коментарями, які показують технологію в дії:

Тут показаний покращений інтерфейс інформації, яка виводиться користувачеві при відвідуванні підозрілого сайту:



Те ж вікно, але тільки з забороненим адміністратором переходом на небезпечний сайт:



Наступне вікно буде показано, якщо Internet Explorer визначить, що завантаження файлів проведуть з небезпечного джерела:


Помітно, що справжні імена доменів підсвічені більш темним текстом.


Висновок


У статті розглянуті кілька нових механізмів щодо захисту в Internet Explorer 8. Деякі з них здалися мені досить значними, інші менш. Найбільш цікавий механізм – це XSS-фільтр, дуже своєчасна техніка, яка в наш час є дуже актуальною. В цілому ж, розміри роботи над безпекою нового браузера особисто мене вражають. Восьма версія однозначно зробить значно більший крок у забезпеченні безпеки, ніж всі її попередники.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*