Новые функции безопасности в IE 7.0

Опубликовано: 12 Апреля, 2023

Теперь Microsoft наносит один-два удара по конкурентам со всеми новыми функциями безопасности в следующей версии Internet Explorer, IE 7.0, которая в настоящее время проходит закрытое бета-тестирование. Я пробовал IE 7.0 в течение нескольких недель, и на саммите MVP в Редмонде в сентябре я получил возможность услышать от некоторых людей из команды IE о том, как эти новые функции делают IE более безопасным.


Философия безопасности браузера Microsoft


Первое, что мы услышали о безопасности IE, это то, что Microsoft рассматривает «общую картину» среды угроз, признавая, что одно приложение — веб-браузер — может использоваться по-разному (во внутренней, внешней и внешней сетях). Интернет), которые требуют различных уровней безопасности. Эта концепция уже давно подтверждается использованием в IE зон безопасности, и функция зон перенесена в IE 7.0, но с некоторыми значительными улучшениями, которые дают администраторам (в корпоративной среде) и пользователям (в домашней среде и среде малого бизнеса) более детальный контроль. над поведением браузера, влияющим на безопасность. В то же время многие функции безопасности станут более прозрачными для конечных пользователей.


Одним из важных приоритетов является то, что новые функции IE будут отключены по умолчанию, если при их реализации возникнет какой-либо возможный риск для безопасности. Это простая идея, и она является частью «безопасности по умолчанию» позиции надежной вычислительной техники Microsoft «SD 3 » (безопасность по дизайну, безопасность по умолчанию и безопасность при развертывании). Новая философия безопасности Microsoft направлена на многоуровневую защиту или многоуровневую безопасность, и они приложили усилия, чтобы сделать новые функции безопасности активными, вместо того, чтобы полагаться на исправление проблем по мере их возникновения. С этой целью они внесли фундаментальные архитектурные изменения в программное обеспечение браузера, чтобы противостоять ожидаемым будущим угрозам.


Двусторонний подход


Новые функции безопасности IE можно разделить на две широкие категории: те, которые устраняют угрозы для машины, и те, которые устраняют угрозы для пользовательских данных.


Защита машины обеспечивается рядом механизмов:



  • Защищенный режим
  • Консолидированный класс URL-адресов (cURL)
  • Активация ActiveX
  • Междоменная защита
  • Блокировка зон.

Информация о пользователе защищена такими функциями, как антифишинговый фильтр и новые способы, с помощью которых пользователи могут более легко «очистить следы» — удалить записи истории посещенных страниц, файлы cookie и т. д. Была усилена аутентификация, и появились новые предупреждения, которые будут подсказывать пользователей при возникновении потенциально опасных ситуаций.


Защищенный режим


Защищенный режим, ранее называвшийся IE с низкими правами, гарантирует, что браузеру делегируются только те разрешения, которые необходимы для выполнения задания. Надстройки по умолчанию запускаются с низкими разрешениями, поэтому надстройки защищены так же, как и сам IE.


По умолчанию записи в профиль пользователя автоматически перенаправляются в подкаталог Temporary Internet Files, а расширения могут использовать API-интерфейс SaveAs, чтобы запрашивать у пользователя, будут ли файлы записываться в любое место за пределами папки TIF (например, если вы загружаете шаблон, который будет сохранен в папке Шаблоны).


Существует три уровня целостности: высокий (администратор), средний (пользователь) и низкий (ограниченный). Процессы, работающие на более низких уровнях целостности, никогда не смогут отправлять данные в приложение, работающее на более высоком уровне.



Примечание:
Защищенный режим требует, чтобы IE работал в Windows Vista. Важной функцией безопасности Vista является защита учетных записей пользователей (UAP), которая по умолчанию запускает все с минимальными привилегиями. Это было частью UNIX в течение долгого времени, но важно отметить, что он защищает машину, а не индивидуальную учетную запись пользователя.


Объединенный класс URL


Эта функция безопасности предназначена для предотвращения атак, использующих способ, которым браузеры анализируют URL-адреса, например, способ обработки специальных escape-символов, таких как знак @ перед именем хоста.


Благодаря новой функции cURL URL-адреса анализируются только в одном месте, вместо того, чтобы отдельные подключаемые модули выполняли собственный анализ URL-адресов (и, возможно, анализировали один и тот же URL-адрес по-разному). Все дело в большем контроле и меньшем оставлении на волю случая.


API cURL позволяет программистам указывать URL-адреса вместо строк для обозначения адресов.


Активация ActiveX


Новая, более безопасная философия этой функции заключается в том, что активные элементы управления должны запускаться только в том случае, если они предназначены для запуска в IE. Средний компьютер Windows имеет примерно 350 элементов управления ActiveX при поставке, но только 10 или около того предназначены для работы в браузере. IE 7.0 будет иметь список элементов управления, которые, как известно, безопасны для запуска в браузере. Если элемент управления, которого нет в списке, попытается запуститься, вам будет предложено, и вам придется согласиться на его запуск. После того, как вы выберете определенный элемент управления, вам не будет предложено запустить его снова.


Еще одним значительным улучшением безопасности является «добавление в бесплатном режиме». Это работает как безопасный режим для Windows, поскольку он запускает IE без каких-либо расширений. Это полезно, если у вас есть проблемы, которые мешают работе IE в обычном режиме, и вам нужно загрузить исправление или найти решение в Интернете, но вы не можете этого сделать, потому что вы не можете открыть браузер. Одним из элементов управления, который работает в этом режиме, является элемент управления Центром обновления Windows, что имеет смысл, поскольку вы можете получать обновления, которые могут решить вашу проблему.


Междоменная защита и блокировка зон


Междоменные сценарии — это распространенная атака, направленная на веб-браузер. В предыдущих версиях IE злоумышленник мог перенаправить фрейм браузера, открытый в одном домене, в другой домен безопасности. Например, злоумышленник может запустить сценарий в локальной зоне компьютера и выполнить вредоносный код с теми же привилегиями, что и пользователь, вошедший в систему.


В IE 7.0 сценарии и объекты не теряют своего безопасного содержимого даже при перенаправлении. Если контекст безопасности изменится, сценарий будет заблокирован.


Когда IE 7.0 запускается в Vista с включенным защищенным режимом, появляется новый шаблон со средним уровнем безопасности. Зона интрасети по умолчанию отключена, если компьютер не является членом домена. Зона доверенных сайтов имеет более строгие настройки по умолчанию, и вы не можете использовать ползунки, чтобы выбрать настройку ниже среднего уровня безопасности — для этого вам придется явно настроить параметры.


Защита информации о пользователе


Проблема здесь в том, что браузер или операционная система не могут принимать все решения от имени пользователя — вы должны позволить пользователям принимать некоторые решения, но пользователь — самое слабое звено безопасности. Цель IE 7.0 — помочь пользователям принимать правильные решения.


Антифишинговый фильтр использует черный список известных фишинговых сайтов, а также эвристические технологии. IE уведомит пользователя, если сайт считается фишинговым или подозрительным на основе эвристики, но не сообщает пользователю, каковы конкретные критерии подозрения. Существует также клиентский список известных хороших сайтов. Информация об этих сайтах не отправляется на фишинговый сервер. К сожалению, пользователь не может добавлять сайты в список разрешенных.


Когда браузер связывается с антифишинговым сервером, он использует SSL для шифрования связи и не отправляет ничего, кроме имени хоста и пути.


IE 7.0 будет включать пункт «очистить дорожки» в качестве пункта меню верхнего уровня. Пользователь может одним щелчком мыши очистить историю просмотров, файл index.dat и другие записи о том, что сделал пользователь. Это полезно, например, при использовании общедоступных компьютеров для удаления записей о вашем использовании. IE 7.0 также предотвратит кражу удаленными сайтами данных, которые вы сохранили в буфере обмена Windows, запрашивая одобрение пользователя перед созданием сценария в буфере обмена. Сценарии в строке состояния также заблокированы, поэтому злоумышленнику будет сложнее подделать ссылку при наведении на нее курсора.


Наконец, IE 7.0 заблокирует наборы символов, которые могут отображаться в адресной строке по умолчанию. Это предотвращает эксплойты, которые используют символы в одном наборе символов, которые выглядят как символы в другом, чтобы перенаправить вас в домен, отличный от того, который, как вы думаете, вы собираетесь посетить. IE теперь будет предупреждать вас, когда имя веб-сервера содержит международные символы.


Резюме


Microsoft приложила немало усилий, чтобы сделать IE 7.0 гораздо более безопасным браузером. Некоторые из этих функций будут доступны в версии IE 7.0, которую можно загрузить для XP, а для других потребуется Vista. В любом случае, пользователи получат определенные преимущества в плане безопасности, перейдя на новую версию браузера, а выпуск IE 7.0 выглядит большим шагом вперед для Microsoft, который вернет позиции, которые они уступили другим браузерам из-за проблем с безопасностью.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023