Новые функции безопасности в Internet Explorer 7

Опубликовано: 24 Марта, 2023

Есть что-то в использовании слов «Безопасность» и «Internet Explorer» в одном предложении, что вызывает у администраторов желание смеяться. Возможно, дело в том, что до Windows XP Service Pack 2 безопасность в Internet Explorer 6 практически отсутствовала. Windows XP Service Pack 2 позаботился о некоторых проблемах безопасности Internet Explorer, но безопасность оставалась в лучшем случае посредственной. Однако в Internet Explorer 7 Microsoft, похоже, решила многие проблемы безопасности, которые преследовали Internet Explorer в течение последнего десятилетия. Конечно, только время покажет, действительно ли Internet Explorer 7 безопасен или нет, но в этой статье я хочу познакомить вас с некоторыми новыми функциями безопасности Internet Explorer.


Прощай, SSL 2.0


В Internet Explorer 6, когда пользователь посещает сайт, для которого требуется шифрование HTTPS, он использует SSL 2.0 для шифрования сеанса по умолчанию, но у пользователя есть возможность вместо этого вручную переключиться на TLS, который является более безопасным. В Internet Explorer 7 Microsoft больше не будет поддерживать SSL 2.0. Это означает, что некоторые веб-сайты придется перекодировать, но многие отраслевые аналитики предполагают, что существует не так много веб-сайтов, которые обязательно требуют SSL 2.0 и не поддерживают TLS.


Безопасен по умолчанию?


Еще одно изменение, связанное с HTTPS, связано с тем, как Internet Explorer реагирует, когда обнаруживает веб-страницу, зашифрованную с помощью HTTPS, но также содержащую контент HTTP. Когда Internet Explorer 6 встречает такую страницу, он спрашивает пользователя, хотят ли они отображать на странице как безопасные, так и небезопасные элементы. Поскольку большинство пользователей не до конца осознают возможные последствия отображения небезопасных данных на защищенной веб-странице, Internet Explorer 7 избавится от этой опции и будет отображать защищенное содержимое только на страницах, доступ к которым осуществляется через HTTPS.


Изменения зоны безопасности


Уже много лет Internet Explorer поддерживает использование зон безопасности. Идея зон безопасности заключается в том, что некоторые веб-сайты заслуживают большего доверия, чем другие. Например, если у вас настроена корпоративная интрасеть, вы, вероятно, полностью доверяете своему собственному серверу и не распространяете вредоносный контент на ваши рабочие станции. Однако вы, вероятно, не доверяете большинству случайных веб-сайтов.


Из-за этого Microsoft создала зоны безопасности. Зоны безопасности уже много лет являются частью Internet Explorer. К ним относятся Интернет, локальная интрасеть, надежные сайты и сайты с ограниченным доступом. Основная идея заключается в том, что веб-сайт может быть классифицирован как принадлежащий к одной из этих четырех зон, и Internet Explorer соответствующим образом ограничит его разрешения. Например, если сайт помещен в зону ограниченных сайтов, пользователь может посетить этот сайт, но Internet Explorer не будет пытаться установить элементы управления Active X с сайта и не будет запускать какие-либо сценарии, которые могут существовать на сайте. С другой стороны, если сайт указан как часть локальной интрасети, на него налагается меньше ограничений. Существует несколько ограничений на использование элементов управления Active X (особенно неподписанных элементов управления Active X), но помимо этого сайт может выполняться без помех со стороны браузера.


Существует одно существенное изменение в способе работы зон в Internet Explorer 7. Один из летних стажеров в Microsoft высказал идею о том, что у большинства домашних пользователей нет интрасети и что зону интрасети следует удалить. Причина этого в том, что локальная зона интрасети — это область, в которой одобренные веб-сайты могут работать с меньшим количеством разрешений. Поскольку у большинства домашних пользователей нет локальной интрасети, локальная зона интрасети на самом деле не служит никакой другой цели, кроме как место, где вредоносные веб-сайты потенциально могут выполняться с меньшими ограничениями.


Microsoft понравилась эта идея, и они разработали Internet Explorer 7 таким образом, чтобы он проверял, подключен ли компьютер пользователя к домену. Если компьютер входит в домен, то локальная зона Интранет работает так же, как и всегда. Однако, если он не является частью домена, Internet Explorer предполагает, что машина принадлежит домашнему пользователю, и отключает локальную зону интрасети.


Фишинговый фильтр


Одной из лучших новых функций безопасности в Internet Explorer 7 является фильтр фишинга. Фишинг стал огромной проблемой за последние пару лет. Существует большое разнообразие фишинговых атак, но одна из самых распространенных связана с мошенническими сообщениями электронной почты. Как правило, лицо, осуществляющее фишинговую аферу, отправляет сообщение электронной почты, которое, как представляется, от вашего банка и просит вас войти в свою учетную запись по какой-либо причине (обычно для проверки правильности вашего баланса). Электронное письмо будет содержать ссылку на веб-сайт вашего банка.


На первый взгляд, веб-ссылка выглядит вполне законной, но сообщение электронной почты разработано таким образом, что сайт, на который фактически ведет ссылка, не является тем же сайтом, на который указывает ссылка. Например, ссылка может выглядеть как http://www.mybank.com, но фактический базовый код вместо этого приведет вас к http://207.68.172.246. IP-адрес, на который ведет ссылка, будет тогда веб-сервером, который настроен так, чтобы выглядеть и работать точно так же, как веб-сервер вашего банка. Работа этого веб-сервера состоит в том, чтобы предоставить вам приглашение для входа в систему. Когда вы входите в систему, сайт регистрирует (крадет) номер вашей учетной записи и пароль, а затем перенаправляет вас на настоящий веб-сайт вашего банка. В большинстве случаев пользователи просто думают, что они неправильно ввели свой пароль, и никогда не понимают, что они только что передали номер своей учетной записи и пароль вору, пока их учетная запись не будет очищена.


Фильтр фишинга предназначен для защиты от подобных действий. Предполагая, что вы решили включить фильтр фишинга, он будет анализировать все URL-адреса, которые вы посещаете, чтобы убедиться, что они являются законными веб-сайтами, а не фишинговыми сайтами.


Например, предположим, что вы щелкнули ссылку в электронном письме, которая привела вас на http://207.68.172.246/result.aspx?id=4. Первое, что сделает фишинговый фильтр, — это удалит вопросительный знак и все, что следует за ним. В ASP знак вопроса используется как механизм для передачи переменных с одной веб-страницы на другую. Поскольку эти переменные потенциально могут содержать личную информацию и ничего не делают для подтверждения или опровержения легитимности сайта, они удаляются. В этом случае останется строка URL http://207.68.172.246/result.aspx.


Затем фильтр фишинга сравнивает этот URL-адрес со списком сайтов, которые считаются законными. В этом случае URL-адрес подозрительно похож на фишинговый сайт, но на самом деле он просто использует IP-адрес, а не доменное имя для перехода к MSN. Поскольку MSN является законным сайтом, этот URL-адрес будет в порядке. Однако если бы этот URL-адрес не был указан как законный сайт, фильтр фишинга использовал бы список известных сайтов фишинга и, при необходимости, некоторые эвристические методы, чтобы определить, является ли сайт законным. Как только фильтр определит подлинность сайта, пользователь увидит сообщение, предупреждающее о том, что это известный фишинговый сайт, предупреждение о том, что это может быть фишинговый сайт, или, если сайт является законным, пользователь не будет увидеть что-то необычное.


Вывод


Только время покажет, действительно ли Internet Explorer 7 безопасен или нет. В настоящее время Internet Explorer 7 и Windows Vista все еще находятся на стадии бета-тестирования, поэтому они не подвергались такому тщательному анализу, как Internet Explorer 6. Я видел несколько неподтвержденных сообщений о том, что люди могут использовать слабые места в Internet Explorer 7, но даже если эти сообщения верны, Internet Explorer 7 все еще находится в стадии бета-тестирования, и в нем обязательно будут какие-то ошибки.