Новое в Internet Explorer 7
Защита от некорректной обработки и скрытия URL
Защита от междоменного обмена данными с помощью скриптов
Средства опознания фишинговых сайтов
Уничтожение данных, сохраняемых браузером
Изменения в пользовательском интерфейсе
Браузер Internet Explorer 7, анонсированный в начале текущего года, предназначен для применения с Windows XP SP 2 (в виде отдельного продукта) и с ожидающейся новой версией клиентской операционной системы от Microsoft Windows Vista (в качестве составной части операционой системы). Сейчас этот продукт доступен в виде первой бета-версии, назначение которой предоставить разработчикам возможность тестирования их приложений на совместимость с новой версией Internet Explorer. Окончательную версию этого продукта следует ожидать в будущем году, но точные сроки выпуска окончательной версии, предназначенной для Windows XP SP 2, пока не объявлены.
Ниже мы кратко остановимся на некоторых особенностях, присущих первой бета-версии Internet Explorer 7.
Безопасность
юбой Web-браузер, будучи одним из самых нужных инструментов для жизни современного человека, является и весьма привлекательным для злоумышленников средством доступа к не предназначенным для них данным и иным ресурсам. Атака на компьютер пользователя или на локальную сеть предприятия может иметь своей целью как разрушение программного обеспечения и данных, так и использование компьютера для решения задач злоумышленника (например, для рассылки спама или вредоносного ПО). Поэтому чрезвычайно важной задачей является защита компьютера от вредоносного ПО (вирусов, червей, троянских программ), использующего браузер в качестве средства проникновения на компьютер или в локальную сеть. Хотя уязвимость браузеров не всегда носит технологический характер (в последнее время для атак нередко используются методы социального инжиниринга и поведенческого анализа или банальная дезинформация будущей жертвы), но имеющиеся технологические уязвимости Internet Explorer 6 наверное, одна из самых актуальных тем для обсуждения в форумах и в онлайновых и печатных изданиях, посвященных информационной безопасности и угрозам, исходящим из Интернета (см., например, статью «Уязвимости Internet Explorer» в этом номере журнала).
С целью устранения уязвимостей и повышения безопасности разработчики внесли в архитектуру Internet Explorer значительные изменения по сравнению с предыдущей версией.
Защита от некорректной обработки и скрытия URL
Совершая атаки, злоумышленники часто рассчитывают на то, что пользователь машинально щелкнет по ссылке на URL, содержащий нестандартные символы, что приведет к переполнению буфера. Такие действия позволят им установить в атакуемую операционную систему свои приложения. При этом типичная практика защиты от таких атак установка обновлений, защищающих от уже известных конкретных типов атак. В Internet Explorer 7 код, обрабатывающий URL, переписан с учетом сведений об известных атаках и учитывает практически все возможные символы, которые могут быть включены злоумышленниками в URL и доменные имена. Это позволяет надеяться на то, что подобные атаки могут быть если не исключены, то весьма затруднены.
С целью защиты от атак, основанных на том, что от пользователя скрывается истинный URL или доменное имя сайта, ссылку на который он принимает за ссылку на надежный источник, в Internet Explorer 7 включены визуальные средства контроля URL и доменных имен. Так, в новой версии браузера невозможно вывести ни основное, ни всплывающее окно без поля, содержащего его URL, поэтому пользователь всегда может узнать URL любого окна.
Защита от междоменного обмена данными с помощью скриптов
В последнее время, по мнению многих экспертов, особую опасность представляют собой такие угрозы, как фишинг, когда пользователя вынуждают сообщить о себе какие-то приватные сведения. Нередко фишинг основан на применении скриптов, осуществляющих обмен данными между доменами (Cross-Domain Scripting). В частности, подобная атака может быть рассчитана на открытие пользователем вполне надежной страницы (например, страницы сайта банка), но с помощью скрипта, осуществляющего междоменный обмен данными, введенные пользователем данные о его счете могут передаваться злоумышленнику. В Internet Explorer 7 передача подобных данных ограничена только тем доменом, которому принадлежит данная страница. Интерпретатор скриптовых языков, встроенный в новую версию браузера, позволяет общаться коду на скриптовых языках только с данными и окнами того домена, откуда был загружен этот код, что предотвращает и несанкционированную загрузку с помощью браузера данных и ПО на компьютер пользователя (правда, это никоим образом не спасает от загрузки такого ПО и данных иными способами).
Защита от шпионского ПО
Даже самый безопасный браузер может быть скомпрометирован вредоносным ПО, проникшим на него способами, отличными от атаки на браузер. Поэтому применять Internet Explorer 7 рекомендуется вместе с приложением Windows AntiSpyware, доступным сейчас в виде бета-версии. При подозрении на атаку этот продукт позволяет мгновенно восстановить все настройки безопасности Internet Explorer, принятые по умолчанию, а также предотвратить скрытую загрузку вредоносного ПО в процессе установки безопасного на вид приложения. Гарантированно уберечь от всех видов вредоносного ПО этот продукт, конечно, не способен, но обеспечить достаточно серьезную защиту с его помощью вполне возможно.
Защищенный режим
Запуск Internet Explorer от имени пользователя с ограниченными правами, не позволяющими браузеру выполнять определенные манипуляции с операционной системой, реестром и файлами, рекомендуют в качестве одного из способов защиты от атак. У Internet Explorer 7, предназначенного для Windows Vista, существует так называемый защищенный режим работы (Internet Explorer Protected Mode), основанный на принципе ограничения прав браузера по сравнению с правами запустившего его пользователя. В этом режиме обмен данными осуществляется посредством специального процесса-брокера, не позволяющего браузеру вносить изменения в операционную систему и в реестр, несанкционированно загружать данные в каталоги, отличные от каталога Temporary Internet Files.
Средства опознания фишинговых сайтов
Для защиты от фишинга и фарминга (так называется создание поддельных Web-сайтов, имитирующих сайты банков или Интернет-магазинов) в новую версию Internet Explorer интегрированы специальные средства. Строка состояния Security Status Bar, расположенная рядом с полем адреса, позволяет понять, является ли сайт поддельным, а также получить сведения о сертификате безопасности сайта и его корректности (рис. 1).
Рис. 1. Сведения о сертификате сайта
Для пользователей Internet Explorer 7 будет доступна функция Microsoft Phishing Filter, имеющая доступ к пополняющимся несколько раз в день данным о фишинговых сайтах. Phishing Filter сравнивает адрес сайта, который пытается посетить пользователь, со списком благонадежных сайтов, хранящимся на компьютере пользователя, проверяет его на типичные фишинговые характеристики и посылает адрес онлайновой службе Microsoft, которая выясняет, не присутствует ли данный сайт в списке фишинговых сайтов. Если сайт подозрителен, пользователь получит соответствующее уведомление (рис. 2), а если сайт уже известен как фишинговый, пользователю будет предложено отказаться от его посещения.
Рис. 2. Уведомление о фишинговом сайте
Уничтожение данных, сохраняемых браузером
Все современные браузеры позволяют осуществить полную очистку истории посещений сайтов, кэша браузера, данных автозаполнения форм, истории вызова приложений. Однако выполнение этих процедур обычно осуществляется по отдельности, а доступ к этим функциям не всегда простой. В Internet Explorer 7 имеется единственная кнопка Delete Browsing History, осуществляющая удаление всех перечисленных данных. Это облегчает ликвидацию следов конфиденциальных данных при использовании общедоступных компьютеров, например в Интернет-кафе.
Контроль над расширениями
Расширения браузера (элементы управления ActiveX, Browser Helper Objects, дополнительные инструментальные панели для осуществления поиска или доступа к другим функциям различных сайтов) применяются достаточно широко, поскольку они позволяют добавить функциональность, отсутствующую там изначально. Однако нередко вредоносное ПО либо реализуется в виде подобных расширений, либо использует их как способ проникновения в компьютер или в локальную сеть.
Internet Explorer 7 позволяет использовать режим No Add-ons Mode, запрещающий применение любых расширений. Начиная с версии beta 2 этот продукт также будет включать средства управления расширениями Add-on Manager, чтобы дать пользователю возможность увидеть, какие расширения браузера были установлены, какие из них загружаются при старте браузера и какие расширения когда-либо вообще использовались, так что пользователь при желании может подключить или отключить то или иное расширение. Это также позволит администратору настроить конфигурацию расширений для каждого пользователя.
Интерфейс и новые функции
Изменения в пользовательском интерфейсе
В интерфейс Internet Explorer 7 внесены улучшения с целью оптимизации доступа пользователей к нужной им информации.
Так, многооконный интерфейс в новой версии заменен одним окном с множеством закладок, что упрощает одновременный просмотр нескольких страниц и переключение между ними (рис. 3).
Рис. 3. Интерфейс Internet Explorer 7
Встроенный в инструментальную панель интерфейс доступа к поисковым системам позволяет не прибегать к дополнительным настройкам, реализующим функции поиска. В окончательной версии продукта будут доступны такие средства настройки этого интерфейса, которые позволяют пользователю выбрать нужную ему поисковую систему (рис. 4).
Рис. 4. Интерфейс доступа к поисковым системам
Отметим также появление (наконец-то!) банальной, но очень полезной возможности это печать страниц с таким изменением масштаба, чтобы полученный документ отображался на стандартном листе без потери правой части.
Поддержка RSS
Новая версия Internet Explorer поддерживает ряд технологий, появившихся в самое последнее время. Одной из таких технологий является RSS (Really Simple Syndication), позволяющая доставлять пользователю персонализированный новостной контент. Новости в формате RSS, как правило, включают ссылку, заголовок и текст. Для чтения подобных новостей обычно требовался отдельный продукт, который загружал новости согласно определенному пользователем списку, тем самым обеспечивая доступ к новостям в одном месте вместо посещения нескольких новостных сайтов. Internet Explorer 7 содержит в своем составе аналогичное средство, а также инструменты автоматического поиска на странице ссылок, ведущих на RSS-источники данных.
Кроме того, RSS-данные можно будет отображать непосредственно в браузере (прежние версии Internet Explorer представляли эти данные в виде XML-документа, который не слишком удобен для чтения), а в окончательной версии планируется добавить уведомление пользователей об обновлении данных в RSS-источниках, на которые он подписан, и средства применения общих RSS-данных для разных приложений.
Поддержка стандартов
Поддержка вновь появившихся индустриальных стандартов в предыдущих версиях Internet Explorer была реализована не самым лучшим образом, что создавало немалые проблемы разработчикам Web-приложений. В Internet Explorer 7 этот недостаток собираются исправить так, из планируемых к полной поддержке стандартов следует в первую очередь отметить CSS, а также стандарт PNG-графики с поддержкой прозрачности.
Администрирование
Для упрощения централизованного управления настройками Internet Explorer в корпоративных сетях, включая Phishing Filter и расширения браузера, администраторам сетей будет доступен Internet Explorer Administration Kit.
***
Как видите, новый браузер от Microsoft выглядит весьма многообещающим и в плане безопасности (которая сегодня является самой главной проблемой как домашних, так и корпоративных пользователей), и в плане удобства применения, и в плане функциональности. Осталось только дождаться его появления.