|
除非你与世隔绝,不然你一定知道Internet Explorer 6可能最出名的就是它存在大量漏洞。事实上
,整个反间谍软件(Anti-Spyware)行业能够盈利,都是通过生产清除大量由IE6引起的病毒的产品。
微软从开发Windows Vista那天起就一直声明安全性是开发Windows Vista最重要的目标,而Windows
Vista中的关键组件就是Internet Explorer 7。微软公司宣布Internet Explorer 7的安全性比IE6高很多
。微软已经发布为Windows XP和Windows Server 2003推出的Internet Explorer 7,通过使用这些IE7版
本以及Windows Vista,我们可以看到IE7是如何增强系统安全性的。
配置IE7增强Vista安全性
第一步:普通安全配置
第二步:过滤钓鱼欺诈页面(Phishing Filter)
第三步:防范国际域名和URL欺骗
第四步:ActiveX选择使用(opt-ins)、信息栏和跨域保护
第五步:Windows Vista 和IE7
第一步:普通安全配置
IE7在默认状态下十分安全。如果你需要调整IE7的安全设置,那么你可以按照IE6中一样的方法进行
。调整IE7的安全等级,只需要当互联网选项属性页面出现后在工具菜单中选择互联网选项命令,选择安
全标签(Security tab)。这个标签允许你设置一个区的安全级别,如图A所示。高级安全设置可以通过高
级签设置管理。
图A:IE7区域安全级别设置
尽管在微软Internet Explorer 7中设置安全性的方式与在IE6中基本一致,但是IE7有更多新的安全
功能。在接下来的一部分,我将为大家介绍一些新的安全功能并为大家示范这些新功能是如何工作的。
第二步:过滤钓鱼欺诈页面(Phishing Filter)
过滤钓鱼欺诈页面(Phishing Filter)的功能有很多压力。当你使用IE7访问网站时,浏览器会将网站的URL地址与合法网站地址清单进行对照。如果发现网站是不合法的,那么就会在已知的钓鱼欺诈页面清单中对照URL地址。如果URL地址与已经的钓鱼欺诈网站相符,那么过滤器就会显示警告消息,提示用户该网站被报告为钓鱼欺诈页面网站,并建议用户关闭该页面。
如果该页面没有出现在已知的合法网站清单中,不过也没有出现在已知的钓鱼欺诈页面清单中,那么过滤器就会使用直觉推理法(Heuristics) 来决定该网站是否有普通钓鱼欺诈页面的特征。如果有,那么过滤器就会显示警告信息,说明该网站可能是钓鱼欺诈页面;同时它也会让你选择是否向微软报告该网站,将其归入微软钓鱼欺诈页面清单。
当你第一次使用Internet Explorer 7时,系统会问你是否希望使用过滤钓鱼欺诈页面(Phishing Filter)。你也可以通过互联网选项属性页面中的高级标签手动启用或禁用过滤器,如图B所示。
图B:使用互联网选项属性页面中的高级标签手动启用或禁用过滤器。
第三步:防范国际域名和URL欺骗
其实,你完全可以认为防范国际域名欺骗这一安全功能是过滤钓鱼欺诈页面(Phishing Filter)功能的扩展,只是该功能是自动启用,不管过滤钓鱼欺诈页面(Phishing Filter)是否在使用中。防范国际域名欺骗就是指通常恶意网站总是试图模仿知名合法网站。最可怕的就是恶意网站模仿合法网站的URL地址。一些初级入侵者总是通过模仿,使用最接近的拼错的合法网站URL地址。更老道一些的经验丰富的入侵者在URL中使用外语字符集。这是因为一些外语字符集的字符看起来与英文字母一样,可是在计算机中它们却是不同的。这种方法使非法入侵者编写的URL地址与合法网站的URL地址看起来完全一样。
为了防范这种入侵技术,当一个URL 地址中包含混合字符集,现在的Internet Explorer 会提醒你,因为这样的URL地址常常是恶意网站或是令人误解的网站。再说一次,你不需要去启用该功能;防范国际域名欺骗是自动启动的。
URL欺骗
新的URL解析器(URL parser)功能类似于外国语过滤器。过去攻击者总是在URL 地址中植入细微的代码执行指令。这种技术有几种不同的变化,但是最流行的技术就是将命令放到一个长的URL地址中。该技术就是利用URL地址过长的长度会造成缓冲区超值过载。如果一个命令恰好在URL地址中恰当的位置,那么当缓冲区超值过载时该命令就会开始执行。
这种技术很久之前就已经被拦截,但是它的无数变形方法今天仍在使用。IE7中包含一个新的URL解析器(URL parser),是微软设计用来检查URL地址的,在把URL地址释放到Internet Explorer之前,该解析器对URL地址进行全面检查。
新的URL解析器(URL parser)也是默认启用的安全功能,不需要进行设置。
第四步:ActiveX选择使用(opt-ins)、信息栏和跨域保护
ActiveX选择使用(opt-ins)
ActiveX控制是最强大的工具之一,已经被恶意软件(malware)编写者掌握。曾经,恶意软件(malware)编写者常常开发恶意的ActiveX控制,希望使用者受骗,使他们安装这些恶意的ActiveX控制。今天IE和第三方反流氓软件(anti-malware software)中都已经有相关的安全防范功能,大大减少了安装恶意的ActiveX控制的中毒案例。
许多人都没有意识到 在IE6中已经装有许多ActiveX控制。尽管这些内置的控制并不是恶意的,但是他们经常被用作恶意软件攻击的组件。
在 Internet Explorer 7中,微软在默认状态下几乎禁用了所有的内置ActiveX控制。如果一个网站需要使用某个控制,微软会通过信息栏提醒用户并提醒用户使用启用控制选项。
ActiveX控制也可以通过“添加管理”手动启用或禁用,通过Internet Explorer的工具栏,进入“添加管理”。正如图C所示,添加管理允许你手动启用或禁用个别的ActiveX控制。
图C:添加管理允许你手动启用或禁用个别的ActiveX控制。
信息栏
当Internet Explorer采取行动阻止可能的安全攻击时,IE6中的信息栏(Information Bar)就会提醒使用者。而现在IE7中的信息栏(Information Bar)有一些变化,它是彩码的。例如,如果IE7可以完全肯定地确认某个网站的身份,因为该地址使用高级安全认证证书,那么信息栏(Information Bar)就显示为绿色。相反,如果网站是不知名的钓鱼欺诈页面,那么信息栏(Information Bar)就显示为红色。
另一个微小的变化就是对IE用户界面做了面向安全的改变,现在所有的浏览窗口都含有地址栏。这样可以帮助避免在浏览合法网站时弹出作为合法网站一部分的恶意弹出窗口。
这些IE7的内置保护形式是不需要设置的。
跨域保护
我想谈的最后一项不需要设置的幕后安全功能就是跨区域壁垒。为了防止恶意代码利用合法网站中的薄弱代码漏洞,IE7和它的跨域保护(cross-domain protection)功能可以阻止某个网站的脚本与位于其它域的网站结合。
第五步:Vista 和IE7
之前,我曾经提到IE将成为Windows Vista的重要亮点功能,不过现在微软也已经为Windows XP 和Windows Server 2003的IE7版本。所有IE7版本都拥有以上我提到的所有的安全功能。
不过,在Windows Vista版IE7中有两个独有的,而其它版的IE7却没有的安全功能。
第一个独有的安全功能就是分离于操作系统(operating system ,OS)。Windows Vista版IE7在设计时,为它在硬盘上留有专门的区域――临时互联网文件文件夹(Temporary Internet Files folder),使IE7可以写入数据。只有当访问网站的用户有明确许可时才能将网络内容写到其它硬件位置。
另一个Windows Vista内独有的安全功能就是一组控制浏览行为的父母监控(Parental Controls)功能。以前,可以利用Internet Explorer的内容顾问(Content Advisor)来控制浏览行为。不过,使用内容顾问(Content Advisor)有一个问题。为了使内容顾问(Content Advisor)有效,网站必须已经达到某个编码级别。
IE7中仍存在甚至扩大了内容顾问(Content Advisor)功能。不过,Windows Vista中含有一组强大的父母监控(Parental Controls)功能,可以通过操作系统的多个方面(如计算机游戏、音乐等)来控制访问内容。这些父母监控(Parental Controls)功能被整合在IE7中。
Internet Explorer 7有很多全新的安全功能,但是只有少数安全功能是用户能够设置的。这确实是件好事,因为这意味着大部分的安全功能不能被禁用。
| 
