微軟揭露IE 8的新安全功能

微軟IE安全計畫經理Eric Lawrence周三（7/2）在部落格中揭露了IE 8的新安全功能，目前IE 8已處於公開測試階段，而新的安全功能則可望在8月出爐的IE 8 Beta 2中露面。

Lawrence表示，安全是進行可信賴網路瀏覽的核心特質，而IE 8則提供重大的改善以解決逐漸增加的網路安全問題。IE團隊將網路威脅分為三個類別，分別是網路應用程式漏洞、瀏覽器及外掛程式漏洞，以及社交工程威脅等，IE 8則針對不同的威脅提供多種防範措施。

在網路應用程式漏洞部份，IE 8新增了跨站攻擊（Cross-Site-Scripting，XSS）防禦、支援更安全的混搭程式建置、更新MIME（Multipurpose Internet Mail Extensions）管理等。Lawrence說，XSS已凌駕緩衝區溢位，成為最常見的軟體漏洞，它利用網路應用程式的漏洞以竊取使用者的瀏覽紀錄或其他資料，甚至用來發動其他攻擊，因此IE 8提供了XSS過濾裝置以避免相關惡意程式的執行。不過，Lawrence也建議網站業者必須同步消除網路應用程式中的XSS漏洞才能確保網路安全。

此外，混搭程式的盛行也導致開發人員所引用的第三方應用程式可能直接存取網站上的文件物件模型（DOM）與非HttpOnly Cookie。因此，IE 8對HTML 5跨文件傳訊的支援功能可讓IFRAME間的溝通更安全同時可隔離DOM，並提供XDomainRequest物件以提供跨網域取得公開資料時的網路安全。在MIME的管理上，IE 8更新了處理圖像檔的方式，如果該圖像檔的下載伺服器說明這是一個圖像檔，那麼IE 8就不會執行嵌在圖像檔中的描述性程式，以防止駭客透過圖像檔寄送惡意程式或連結。

在瀏覽器防禦部份，提供安全外掛程式功能、更新保護模式、應用程式協定提醒功能及檔案上傳控制等功能；在社交工程威脅部份，改善了網址列功能、新增SmartScreen過濾裝置。

Lawrence說明，應用程式協定處理器可讓第三方的應用程式直接自視窗中的瀏覽器或其他應用程式執行，該功能非常的強大，再加上有些註冊為協定處理器的應用程式含有許多漏洞使得它成為駭客攻擊途徑，因此IE 8在執行這些應用程式協定時新增了提醒功能。而檔案上傳功能經常成為資訊洩露的管道，因此IE 8更新了檔案上傳控制功能，包括將檔案路徑編輯視窗設為唯讀，以及關閉"上傳檔案時包括區域目錄路徑"的預設。

至於防止社交工程威脅方面，則是在網址列上用黑字強調特定網站關鍵的網域名稱，同時透過不同的網址列顏色來區分安全或是具威脅的網站，供使用者容易識別；SmartScreen過濾工具強化了7.0所使用的網釣過濾機制，防堵的不再只是釣魚網站，同時還包括含有惡意程式的網站，提供全面的惡意程式防禦能力。（編譯/陳曉莉）