[ IcyImpact @ 30.01.2006. 08:47 ] @
Unazad nekoliko godina Internet Explorer (IE) je nakupio puno negativnog publiciteta uzrokovanog sigurnosnim propustima unutar njega samoga. Nakon dobivene višegodišnje bitke sa Netscape Navigatorom, razvoj IE-a je skoro pa potpuno stao - nove mogućnosti i poboljšanje sigurnosti su tada bile potpuna nepoznanica... Zbog činjenice što je IE usko vezan za samu jezgru windowsa, jako često je bio meta spywarea, crva, raznih exploita koji su značajno ugrožavali milijune korisnika. Posebno je ozbiljno to što IE drži oko 90% tržišta web preglednika. SP1 početkom 2003 nije ništa značajno promjenio i agonija se nastavila sve do ljeta 2004 i izdavanja SP2 za Windows XP. SP2 za Windows XP je IE-u donio nekoliko promjena koje su dale malo svjetla na tmurnu sigurnosnu situaciju. To je otprilike sve za ovih 5 godina od XP-a i ljeta 2001 pa do ljeta 2006 kada će vjerojatno biti lansirana finalna inačica Internet Explorera 7. Microsoft će ponuditi dvije verzije; jedna će biti namjenjena za korisnike Windowsa XP SP2-a kao samostalna verzija koja će nadograditi postojeći IE 6.0. Druga će biti integralan dio nove generacije windowsa - Windowsa Viste. Ta verzija će imati nekoliko dodatnih sigurnosni prednosti i neće biti dostupna kao samostalna verzija. Jedna od prednosti verzije integrirane u Windows Vistu je i protected mode - način rada koji će posjedovati Vista, a u kojem će prava korisnika biti smanjena pa samim time i prava malwarea koji neće imati ovlasti za bilo kakvo dublje zadiranje u operativni sustav. Primjerice neće moći pristupati registryu, sistemskim datotekama te će moći pisati samo unutar Temporary Internet Files direktorija. Ta mogućnost se zove User Account Protection (UAP) koji onemogućuje da browser direktno pristupa operativnom sustavu. Za veće ovlasti morate uputiti zahtjev za privilegirani pristup, kao što je instaliranje ActiveX kontrole ili spremanje web stranice - to ćete napraviti da pritisnite IE UI - ta akcija će pozvati proces koji će biti posrednik između browsera i operativnog sustava. Osim toga moći ćete odrediti koje će ActiveX kontrole biti dostupne browseru, a koje operativnom sustavu. Upravo navedeni razlozi su glavni razlozi zašto bi bilo bolje da se odlučite za tranziciju na Windows Vistu (u kojoj će se nalaziti IE 7) koja će sadržavati i mnogo drugih sigurnosnih mogućnosti. Microsoft je odradio i poboljšanja na sučelju kako bi korisnici što brže pristupili novim sigurnosnim mogućnostima. Za primjer izbornik Tools je sad lako dostupan i uključuje nekoliko novih opcija koje uključuju phishing filter i novu mogućnost Delete Browsing History koji briše kolačiće, povijest surfanja, spremljenje podatke za automatsko ispunjavanje web formulara (koji uključuju i lozinke) te privremene datoteke. Još jedna novost je da će kao primarni HTTPS (HTTP Secure) protokol biti postavljen TLS (Transport Layer Secure) u inačini 1.0 te će SSL (Secure Sockets Layer) 2.0 biti isključen. TLS će omogućiti snažniju enkripciju prometa odnosno veću sigurnost. IE 7 će bolje informirati korisnike o problemima sa cetifikatima; npr. ako je certifikat izdan na ime hosta koji je različit od imena u URL-u, IE 7.0 će preusmjeriti korisnike na upozoravajuću stranicu. Korisnici mogu nastaviti sa učitavanjem stranice, ali će stalno vidjeti upozorenje o tome da je sigurnost stranice upitna (npr. address bar će biti obojan u crvenu)... IE 7 će sadržavati i phishing filter. IE 7 phishing filter će analizirati svaku web stranicu na karakteristike koje su karakteristične za phishing siteove. Ako IE 7 procjeni da je riječ o phishing siteu upozorit će korisnika na to. Ispitivat će se i URL svakog web zahtjeva tako da će pokušati odrediti legitimnost web odredišta. Na lokalnom računalu će biti prisutna lista hostova (siteova) za koje se zna da su legitimna, a na popisu će se naći velike svjetske banke koje su najčešće žrtve phishing prijevara. Ako zatražena adresa hosta bude ista kao i jedna u bazi tada će tom hostu IE dozvoliti pristup bez ikakvih upozorenja. Unaprijeđena je i kontrola BHO (Browser Helper Objects) objekata uz pomoć opcije Manage Add-ons koja je nalazi u izborniku Tools. Omogućuje korisniku da vidi status nekog plug-ina gdje je na raspolaganju opcija za brisanje istog. U istom prozoru korisnik može vidjeti koje je plug-inove IE koristio, koji su trenutačno pokrenuti, koji se pokreću zajedno sa IE-om i prikazuje downloadane ActiveX kontrole (32-bitne). IE 7 također sadrži i nekoliko sigurnosnih poboljšanja "ispod haube" (cross-domain barrier, cURL) koji se neće očitovati GUI-em ali će biti primjetne. Linkovi: http://www.microsoft.com/windo...y/columns/securityupgrade.mspx http://www.eweek.com/article2/0,1895,1876659,00.asp http://www.pcworld.com/news/article/0,aid,123898,00.asp http://blogs.msdn.com/ie/ http://www.infoworld.com/article/05/10/27/HNie7changes_1.html http://software.silicon.com/security/0,39024655,39150844,00.htm http://pcsupport.about.com/b/a/213586.htm http://www.techweb.com/wire/software/172900238 http://news.com.com/Microsoft+...plans/2100-1029_3-5917001.html http://www.techweb.com/wire/security/174906971 http://www.onekit.com/store/review/420.html http://www.techspot.com/news/1...t-tightens-ie-7s-security.html http://www.itbusinessedge.com/item/?ci=8355 http://governmententerprise.com/news/172900257 http://www.techtree.com/techtree/jsp/showstory.jsp?storyid=57662 http://feeds.computerworld.com/Computerworld/Security/News?m=136 http://www.infoworld.com/article/05/12/12/HNie7defaults_1.html |