Oprogramowanie

Co pod maską: zmiany w bezpieczeństwie i kodzie

Internet Explorer, bez względu na to co powie wam Linuxowy dewot, nie jest z natury niebezpieczny. Jest na tyle bezpieczny na ile pozwalają możliwości Microsoftu. Co więcej jest on nieustannie aktualizowany, aby być bezpiecznym i stawiać opór złośliwemu oprogramowaniu. Z pewnością wyróżnia go fakt, że jest najbardziej narażoną na ataki przeglądarką internetową. Z tego właśnie powodu ciągle odkrywane są kolejne luki w jego bezpieczeństwie. Co więcej, w przeciwieństwie do innych przeglądarek internetowych, IE stanowi integralną część systemu operacyjnego. Tak więc jeśli jego zabezpieczenia zostaną ominięte, cały komputer zostaje porzucony na pastwę losu. W tym względzie, twierdzenia, że Firefox jest z natury bardziej bezpieczny od Internet Explorera są jak najbardziej uzasadnione.

Obecna sytuacja może się jednak zmienić, jako że Microsoft ma zamiar wprowadzić znaczące zmiany w sposobie pracy Internet Explorera. Przyjrzyjmy się nowym środkom bezpieczeństwa.

Jednym z najbardziej powszechnych ataków skierowanych przeciwko przeglądarkom jest tak zwany 'malformed URL attack'. Jego zamiarem jest nakłonienie użytkownika do kliknięcia na link, który ma spowodować przepełnienie bufora pamięci przeglądarki, umożliwiając uruchomienie szkodliwego kodu na komputerze. W obecnych wersjach Internet Explorera konieczne jest użycie patcha w celu zapobieżenia tego typu przypadkom, ponieważ oryginalny kod przeglądarki, który stanowi podstawę podatności na ataki nie może być łatwo zmieniony.

Internet Explorer 7 zaprojektowany jest w taki sposób, aby redukować podatność dzięki zastosowaniu pojedynczego kodu lokacji dla przetwarzanych adresów. To nie tylko powinno uodpornić przeglądarkę na obecne zagrożenia, ale także pozwolić na zabezpieczenie przed przyszłymi atakami.

Drugą poprawką na rzecz bezpieczeństwa jest wymóg IE7 mówiący, że wszystkie okna przeglądarki mają pasek adresu, co pozwala kontrolować która strona jest aktualnie odwiedzana. Idzie to w parze z mającymi się pojawić funkcjami (przewidzianymi dla IE7 beta2), które pozwolą użytkownikowi sprawdzać czy URL widniejący na ekranie odnosi się rzeczywiście do miejsca, na które wskazuje. To miejmy nadzieję zneutralizuje jedno z najbardziej skutecznych zagrożeń jakimi są zwodzenie i przekierowywanie na ukryte adresy.

Microsoft wprowadził także zmiany dotyczące sposobu obchodzenia się ze skryptami wywołanymi przez strony. Nowe zabezpieczenia pozwalają wykonywać skrypty tylko w obrębie oryginalnej domeny. Aby to umożliwić, nazwa domeny zostanie dołączona do skryptu w obrębie IE7 i przeglądarka odmówi uruchomienia międzydomenowego skryptu. Zapobiega to tym atakom phishingowym nakłaniającym użytkownika do przeglądania niepożądanych stron internetowych, które po chwili przenoszą go na właściwą stronę równocześnie przechwytując podawane dane.

Z czysto technicznej strony, Internet Explorer 7 powinien być wyposażony w poprawioną obsługę CSS (Cascading Style Sheets) a także przezroczystych plików graficznych PNG, łatwiej tworząc wiele efektów związanych z przezroczystością.