微软@@IE安全计划经理@@Eric Lawrence7月@@2日在@@部落格中揭露了@@IE 8的新安全功能@@,目前@@IE 8已处于公开测试阶段@@,而@@新的安全功能则可望在@@@@8月@@出炉@@的@@IE 8 Beta 2中露面@@。
Lawrence表示@@,安全是进行可信赖网络浏览的核心特质@@,而@@IE 8则提供重大的改善以解决逐渐增加的网络安全问题@@。IE团队将网络威胁分为三个类别@@,分别是网络应用程序漏洞@@、浏览器及插件漏洞@@,以及社交工程威胁等@@,IE 8则针对@@不同的威胁提供多种防范措施@@。
在@@网络应用程序漏洞部份@@,IE 8新增@@了跨站攻击@@(Cross-Site-Scripting,XSS)防御@@、支持更安全的混搭程序建置@@、更新@@MIME(Multipurpose Internet Mail Extensions)管理等@@。Lawrence说@@,XSS已凌驾缓冲区溢出@@,成为最常见的软件漏洞@@,它利用网络应用程序的漏洞以窃取用户的浏览纪录或其他数据@@,甚至用来发动其他攻击@@,因此@@IE 8提供了@@XSS过滤装置@@以避免相关恶意软件的执行@@。不过@@,Lawrence也建议网站业者必须同步消除网络应用程序中的@@XSS漏洞才能确保网络安全@@。
此外@@,混搭程序的盛行也导致开发人员所引用的第三方应用程序可能直接存取网站上的文件对@@象模型@@(DOM)与非@@HttpOnly Cookie。因此@@,IE 8对@@HTML 5跨文件传讯的支持功能可让@@IFRAME间的沟通更安全同时可隔离@@DOM,并提供@@XDomainRequest对@@象以提供跨网域取得公开数据时的网络安全@@。在@@MIME的管理上@@,IE 8更新@@了处理图像文件的方式@@,如果该图像文件的下载服务器说@@明@@这是一个图像文件@@,那么@@IE 8就不会执行嵌在@@图像文件中的描述性程序@@,以防止黑客透过图像文件寄送恶意软件或连结@@。
在@@浏览器防御@@部份@@,提供安全插件功能@@、更新@@保护模式@@、应用程序协议提醒功能及档案上传控制等功能@@;在@@社交工程威胁部份@@,改善了网址列功能@@、新增@@SmartScreen过滤装置@@。
Lawrence说@@明@@,应用程序协议处理器可让第三方的应用程序直接自窗口中的浏览器或其他应用程序执行@@,该功能非常的强大@@,再加上有些注册为协议处理器的应用程序含有许多漏洞使得它成为黑客攻击途径@@,因此@@IE 8在@@执行这些应用程序协议时新增@@了提醒功能@@。而@@档案上传功能经常成为信息泄露的管道@@,因此@@IE 8更新@@了档案上传控制功能@@,包括将档案路径编辑窗口设为只读@@,以及关闭@@"上传档案时包括区域目录路径@@"的默认@@。
至于防止社交工程威胁方面@@,则是在@@网址列上用黑字强调特定网站关键的域名@@,同时透过不同的网址列颜色来区分安全或是具威胁的网站@@,供使用者容易识别@@;SmartScreen过滤工具强化了@@7.0所使用的网钓过滤机制@@,防堵的不再只是钓鱼网站@@,同时还包括含有恶意软件的网站@@,提供全面的恶意软件防御@@能力@@。
