(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Новые механизмы обеспечения безопасности в IE 8

Источник: habrahabr

После выхода Internet Explorer Beta2 на многочисленных ресурсах, включая Хабр, часто обсуждались нововведения, которые касаются в основном интерфейса и дополнительных инструментах для пользователя. Таких нововведений достаточно много, тут и акселераторы и измененная строка ввода адреса и группировка табов и продвинутый инструмент для разработчиков многое другое. Так же достаточно широко обсуждается изменение в браузере в плане рендеринга страниц, в том числе тот факт что во многом этот механизм пишется для восьмой версии с нуля. Все это конечно интересно и значительно, но целью данной статьи ставится компиляция сведений о средствах безопасности нового браузера.

Введение

Не так давно, 29 августа, на блоге MSDN IEBlog была размещена статья "Безопасная навигация с IE8: обобщение информации" (Trustworthy Browsing with IE8: Summary). В довольно обширной форме в статье скомпилированы предыдущие статьи, касающиеся отношения к безопасности в IE. В этой статье я не собираюсь переводить все статьи, для меня это неподъемная работа, да и не считаю, что это необходимо. Статьи написаны доступным языком и каждый желающий может с ними ознакомиться. В этой статье я попытаюсь в краткой форме изложить информацию об основных изменениях в элементах безопасности в IE.

Содержание

  • защита памяти средствами DEP/NX;
  • улучшения в ActiveX;
  • фильтр SmartScreen®;
  • XSS-фильтр;
  • общая защита.

Защита памяти средствами DEP/NX

Функция "Включить защиту памяти для снижения риска атаки из интернета" доступна и в седьмой версии браузера, но она не включена по умолчанию. Правда, на 64-битных платформах этой функции нет, но только потому, что все процессы в 64-битных версиях Windows защищены через DEP. Теперь же, данная функция будет включена по умолчанию. Напомню, что DEP/NX позволяет предотвратить выполнение кода, которые помечен как данные. Таким образом отсекается целый пласт атак таких как переполнение буфера.

Улучшения в ActiveX

В восьмой версии Internet Explorer элементы ActiveX могут быть установлены только для определенного пользователя (Per-User ActiveX), что снижает риск заражения, при учете того, что пользователь не работает под правами администратора. В это случае под ударом находится только профиль одного пользователя и ничего больше.
Per-Site ActiveX - новая техника, которая позволяет задать элементу ActiveX возможность исполнения только но одном единственном (вашем собственном) сайте и нигде больше. Пользователь также может разрешить использование, скажем Silverlight, только на том сервере, где он первый раз понадобился. Как и все остальное, управление механизмом установки ActiveX будет доступно для администраторов через групповые политики.

Фильтр SmartScreen®

SmartScreen® - это новая функция Internet Explorer против фишинга, которая расширяет фишинг-фильтр, который был в предыдущих версиях браузера. Вот список основных изменений:

  • улучшенный интерфейс;
  • улучшенная производительность;
  • новая эвристическая улучшенная телеметрия;
  • поддержка анти-malware;
  • улучшенная поддержка через групповые политики.

Я приведу некоторые скриншоты с комментариями, которые показывают технологию в действии:

Здесь показан улучшенный интерфейс информации, которая выводится пользователю при посещении подозрительного сайта:

То же окно, но только с запрещенным администратором переходом на опасный сайт:

Следующее окно будет показано, если Internet Explorer определит, что загрузка файлов будет произведена из опасного источника:

В редких случаях пользователь может увидеть следующее окно, которое предупреждает пользователя о подозрительных сайтах:

XSS-фильтр

Самое интересное на мой взгляд нововведение, это встроенный XSS-фильтр, которые позволяет защитить пользователя от "Cross-Site Scripting"-атак. Чтобы хотя бы приблизительно оценить величину угрозы от XSS-атак можно перейти по адресу XSSed.com и посмотреть какие не самые мелкие публичные ресурсы подвержены этим атакам. Любой пользователь потенциально может стать жертвой просто перейдя на эти ресурсы, и сейчас число таких обнаруженных "дырявых" сайтов перевалило уже за 20 тысяч.

XSS-фильтр Internet Explorer 8 направлен против xss-атак т.н. типа Type1. Согласно информации с википедии атаки такого типа самые распространенные.

Для тех сайтов, которые по какой-то причине не хотят позволить пользователю включить защиту против XSS на их ресурсах доступна опция в заголовках HTTP: X-XSS-Protection: 0. Она может понадобится тем, кто в своих проектах использовал техники схожие с XSS-атаками.

Общая защита

Помимо защиты от xss-атак, в новой версии браузера будут поддержаны так же следующие техники и технологии защиты:

  • поддержка кросс-документного обмена сообщениями HTML5 (HTML5 cross-document messaging);
  • новый объект XDomainRequest для передачи данных через домены;
  • новая функция toStaticHTML, которая позволит избежать внедрения опасного кода на страницы путем форматирования html-тегов, эта функция делает тоже что и описанные здесь функции библиотеки Microsoft Anti-Cross Site Scripting Library;
  • Internet Explorer 8 реализует функции ECMAScript 3.1 для работы с JSON. Для обеспечения безопасности, объект для работы с JSON содержит функцию parse, которая так же как и toStaticHTML надежно форматирует потенциально-опасный текст;
  • в новой версии Internet Explorer браузер содержит улучшения в т.н. механизме MIME-sniffing. Этот функционал позволяет определять браузеру содержимое страницы не по "content-type", а по содержанию. Нередко такое определение позволяло внедрить опасный код. Теперь, например, при "content-type: image/*" не будет рендерится вложенный html- или скрипт-код. Для управления фильтром разработчик может воспользоваться новым параметром authoritative и указать "Content-Type: text/plain; authoritative=true;" и в таком случае IE8 не будет пытаться определить тип содержимого, выведя его согласно указанию в "Content-Type";
  • новые параметры для HTTP-заголовков X-Download-Options: noopen и Content-Disposition: attachment; filename=untrustedfile.html позволяют заставить браузер сохранить содержимое вместо его отображения. Это может понадобится в тех случаях когда веб-приложению требуется передать пользователю страницу с небезопасным содержимым. В случае сохранения его на клиенте и последующем открытии такие страницы не будут работать в контексте сервера, что оставит его в безопасности;
  • в контроле File Upload теперь в целях безопасности изменили статус поля ввода на read-only. В дополнение к этому, с той же целью, IE8 теперь не будет отправлять полный путь файла, вместо этого отправляться будет только его имя;
  • Internet Explorer 8 так же содержит некоторые методики противодействия атакам с применением социальной инженерии, для примера приведу два скриншота правильного

    и неправильного PayPal.

    Заметно, что настоящие имена доменов подсвечены более темным текстом.

Заключение

В статье рассмотрены несколько новых механизмов в плане защиты в Internet Explorer 8. Некоторые из них показались мне достаточно значительными, другие менее. Наиболее интересный механизм - это XSS-фильтр, очень своевременная техника, которая в наше время является очень актуальной. В целом же, размеры работы над безопасностью нового браузера лично меня впечатляют. Восьмая версия однозначно совершит значительно больший шаг в обеспечении безопасности, чем все ее предшественники.

Ссылки по теме


 Распечатать »
 Правила публикации »
  Обсудить материал в конференции Microsoft »
Обсудить материал в конференции Дизайн, графика, обработка изображений »
Написать редактору 
 Рекомендовать » Дата публикации: 30.10.2009 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Русская версия Windows 8 . Version Upgrades (VUP) — обновление имеющейся версии программного продукта Microsoft на текущую версию. Коробочная версия продукта Version Upgrades (VUP) — обновление. Позволяет обновить компьютер с Windows 7 (не... Microsoft Windows 8 Russian, апгрейд с предыдущих версий Windows, коробка
Удаленное (терминальное) подсключение к русской лицензии Windows Server любой версии для Одного Пользователя. Microsoft Windows Remote Desktop Services CAL 2012 Russian OPEN 1 License No Level User CAL
Редакция Datacenter — для сред с высокой степенью виртуализации – динамических центров обработки данных или частных облаков, позволяет запустить неограниченное количество виртуальных машин под одной лицензией... Microsoft Windows Server Datacenter 2012 R2 Russian Academic OPEN 1 License No Level 2 PROC Qualified
Электронный ключи Microsoft Outlook 2013. Язык интерфейса - Русский. Купить Microsoft Outlook 2013 Russian, полная версия, электронный ключ
•• Word 2013 •• Excel 2013 •• PowerPoint 2013 •• OneNote 2013 •• Outlook 2013 •• включает Microsoft Office для дома и бизнеса 2013. Программное обеспечение Microsoft Office для дома и бизнеса 2013 предназначено для пользователей, работающих из дома .... Купить Microsoft Office для Дома и Бизнеса 2013 Russian, полная версия, электронный ключ
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
Sense имеет гибкую область сканирования и может захватить все, от кекса до  человека в полный рост, обрабатывая данные за секунды и мгновенно формируя файл для 3D печати. 3D сканер SENSE
Воспользуйтесь новыми стандартами в трехмерной печати! Четвертое поколение принтеров от компании MakerBot является лучшим настольным 3D принтером, предлагаемым в настоящее время на рынке.  С разрешающей способностью в 100 микрон и объемом печати 6700... MakerBot Replicator 2
Новые стандарты в персональной 3D печати! Профессиональный персональный 3D-принтер MakerBot Replicator устанавливает новые стандарты в мире 3D-печати. Область печати на 11% больше, чем у MakerBot Replicator 2. MakerBot Replicator 5th GEN
3D принтер Myriwell HL-300A является лидером в сегменте бюджетных (домашних) 3D принтеров. Стильный дизайн. Красивый дизайн и удобное управление помогут с легкостью воплотить ваши идеи в реальность. Простота использования. Объемная печать .. 3D принтер Myriwell HL-300A, пурпурный
Мировая классика, этот цвет один из самых темных и самый черный цвет в мире. Мы долго трудились над тем, чтобы сделать его наиболее насыщенно черным. Катушка ABS-пластика Myriwell 1.75 мм 1кг., черная
 
Другие предложения...
 
Книжный магазин   WWW.ITSHOP.RU
В книге последовательно излагается методика интеграции стратегического планирования и финансового анализа и планирования. Синтез этих подходов позволяет эффективно работать и реализовывать стратегию максимизации рыночной стоимости компании.
Книга... Реализация стратегии компании. Финансовый анализ и моделирование
В состав пакета Microsoft Office 2013 входит множество программ для выполнения самых разных задач. В этой книге вы найдете сразу три самоучителя по самым популярным приложениям Office: текстовому процессору Word, редактору электронных таблиц Excel и... Самоучитель Office 2013
Этот самоучитель - лучший вариант для того, чтобы быстро и без проблем научиться работать на компьютере с операционной системой Windows 8. Вы научитесь настраивать Windows 8, работать с текстовыми файлами и электронными таблицами, слушать музыку и... Самоучитель работы на компьютере с Windows 8 (+ CD-ROM)
C помощью этой книги вы быстро освоите разработку приложений для Windows 8 с использованием таких технологий, как HTML5 и JavaScript. Написанное известным экспертом Дино Эспозито в соавторстве со своим сыном, это практическое пособие содержит все... Разработка приложений для Windows 8 на HTML5 и JavaScript
Книга знакомит с принципами создания визиток, буклетов, постеров, упаковок, календарей, аппликаций, коллажей, открыток и других графических работ с помощью программ компьютерной графики CorelDRAW и Photoshop. Рассматривается, как восстановить старые... Подарки своими руками с CorelDRAW и Photoshop (+ CD-ROM)
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Утиль - лучший бесплатный софт для Windows
Windows и Office: новости и советы
eManual - электронные книги и техническая документация
Программирование на Visual С++
Мастерская программиста
 
Рассылки Maillist.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Новости ITShop.ru - ПО, книги, документация, курсы обучения
MS Windows и MS Office
eManual - электронные книги и техническая документация
Программирование на Visual С++
Новости мира SoftWare
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
70-671 экзмен на русском языке. (357)
Уже в третий раз пытался сдать экзамен MSP 70-671 на русском языке и все без результатно,...
 
Помощь по MS Access (270)
Доброе время суток. Случайно оказался на этом сайте, искал статьи по OLAP. Вижу, что...
 
Служба Windows Installer (280)
При очередной установке С++Builder выскочила ошибка: Не удается получить доступ к сужбе Windows...
 
Где можно найти «Пакет анализа» для Excel ? (53)
Коллеги, подскажите, где можно скачать надстройку к Excel под названием «Пакет анализа», после...
 
И я там был (1)
И я там был, мед пиво пил, по усам текло, а в рот не попало.
 
 
 



    
rambler's top100 Rambler's Top100