與IE6相比,IE 7從外觀上看最大的改變就是采用了多頁(yè)面形式,用戶可以通過(guò)標(biāo)簽轉(zhuǎn)換不同的瀏覽頁(yè)面,再也不用開(kāi)啟多個(gè)IE窗口了。但是微軟對(duì)IE7宣傳最多的還是其安全性的 增強(qiáng)。作為XP中IE6瀏覽器的升級(jí)版本以及Windows Vista中的內(nèi)置瀏覽器,IE7提供了一系列安全機(jī)制確保用戶上網(wǎng)瀏覽的安全。下面我們就來(lái)逐一介紹IE7中主要的安全功能。
控制Active X
在以往的IE用戶中抱怨最多的,同時(shí)也是很多人放棄IE選擇Firefox或其它瀏覽器的一個(gè)主要原因,就是由Active X控件帶來(lái)的安全隱患。Active X可以讓W(xué)eb開(kāi)發(fā)人員創(chuàng)作出純 HTML代碼無(wú)法實(shí)現(xiàn)的網(wǎng)頁(yè)功能。然而,由于Active X控件是一種可執(zhí)行文件,并且可以被瀏覽器自動(dòng)下載并執(zhí)行,因此一些網(wǎng)絡(luò)攻擊者經(jīng)常會(huì)編寫(xiě)一些惡意Active X控件,對(duì)用戶 的電腦進(jìn)行控制,與其它電腦進(jìn)行連接,并在用戶不知情的情況下將用戶的重要數(shù)據(jù)傳送到其它電腦上。
微軟對(duì)Active X控件的安全性也相當(dāng)關(guān)注,在眾多安全專家的研究下,IE7對(duì)于Active X控件的控制機(jī)制有了重大改變。在IE7中,一個(gè)被稱為Active X opt-in的新功能可以在默認(rèn) 狀況下禁止任何Active X控件自動(dòng)安裝到用戶的電腦中。如果用戶訪問(wèn)了一個(gè)帶有Active X控件的網(wǎng)站,在瀏覽器上方會(huì)出現(xiàn)一個(gè)信息條,告訴用戶該網(wǎng)站試圖安裝并運(yùn)行一個(gè) Active X控件(包括控件名稱以及發(fā)布公司的名稱)。用戶可以自行選擇是否安裝并運(yùn)行這個(gè)控件。
安全機(jī)制的關(guān)鍵在于,如何在保護(hù)能力和用戶便利性之間做到平衡。在Windows Vista中,為了安全而默認(rèn)開(kāi)啟了UAC(用戶帳戶控制),而很多用戶都抱怨無(wú)處不在的UAC對(duì)話框令 他們的工作變得很繁瑣。為了在增強(qiáng)安全性的同時(shí)不影響用戶的操作便利性,微軟在Active X opt-in功能中加入了一個(gè)經(jīng)過(guò)預(yù)先核準(zhǔn)的控件名單,當(dāng)瀏覽器遇到網(wǎng)頁(yè)中的這些控件 時(shí),就不會(huì)再讓用戶進(jìn)行選擇是否安裝或運(yùn)行該Active X控件了。列表中的控件均為常用的安全控件,用戶不需要事先進(jìn)行確認(rèn)。
另外,用戶可以基于不同的網(wǎng)絡(luò)區(qū)域?qū)ctive X opt-in功能進(jìn)行開(kāi)啟或關(guān)閉。默認(rèn)情況下,Active X opt-in在Internet區(qū)域和受限站點(diǎn)區(qū)域都是開(kāi)啟的,而在intranet區(qū)域和可 信站點(diǎn)區(qū)域則是關(guān)閉的。這些設(shè)置可以在Internet Options | Security下進(jìn)行修改。用戶可以在這里選擇需要修改的區(qū)域,然后點(diǎn)擊Custom Level按鈕,在彈出窗口中進(jìn)行適當(dāng)?shù)?設(shè)置(如圖A所示)。
Active X控件的開(kāi)發(fā)人員可以通過(guò)使用站點(diǎn)鎖(限定控件只針對(duì)特定的網(wǎng)站域名)功能和網(wǎng)絡(luò)區(qū)域鎖(限定控件只在IE位于某一特定區(qū)域—如intranet區(qū)域—才運(yùn)行)功能讓自己 的控件變得更加安全。同時(shí)還應(yīng)該為自己的控件設(shè)置數(shù)字簽名。
拒絕網(wǎng)絡(luò)釣魚(yú)
為了應(yīng)對(duì)日益嚴(yán)重的網(wǎng)絡(luò)釣魚(yú)(phishing)問(wèn)題,微軟在IE7中加入了Microsoft Phishing Filter(微軟網(wǎng)絡(luò)釣魚(yú)過(guò)濾器)。該功能會(huì)自動(dòng)將用戶訪問(wèn)的網(wǎng)站與一個(gè)已知的網(wǎng)絡(luò)釣 魚(yú)網(wǎng)站列表比較,如果用戶訪問(wèn)的網(wǎng)站與該列表上列出的某個(gè)網(wǎng)站域名一致,則會(huì)對(duì)用戶發(fā)出警告。如果用戶不希望自動(dòng)對(duì)全部網(wǎng)站進(jìn)行網(wǎng)絡(luò)釣魚(yú)檢查,可以選擇只對(duì)那些用戶感 到懷疑的網(wǎng)站進(jìn)行檢查。要實(shí)現(xiàn)這種功能,用戶可以點(diǎn)擊Tools | Phishing Filter | Check This Web Site來(lái)實(shí)現(xiàn)。
如果用戶感覺(jué)一個(gè)網(wǎng)站肯定是網(wǎng)絡(luò)釣魚(yú)網(wǎng)站,但是IE7中的過(guò)濾名單中又沒(méi)有該網(wǎng)站域名,在這種情況下,用戶可以將該網(wǎng)站匯報(bào)給微軟,微軟會(huì)對(duì)用戶的報(bào)告進(jìn)行研究,如果確認(rèn) 是釣魚(yú)網(wǎng)站,便將其加入網(wǎng)絡(luò)釣魚(yú)網(wǎng)站的數(shù)據(jù)庫(kù)中。Phishing Filter采用啟發(fā)式工作方式,可以自動(dòng)判斷一個(gè)網(wǎng)站是否具備網(wǎng)絡(luò)釣魚(yú)網(wǎng)站的特征,如果具備,則將其標(biāo)記為可疑站 點(diǎn)。
用戶可以關(guān)閉Phishing Filter或者開(kāi)啟或關(guān)閉自動(dòng)檢查功能。這些設(shè)置都位于Internet選項(xiàng)中的高級(jí)設(shè)置(Advanced Settings)選項(xiàng)卡中,如圖B所示。
跨域安全性
跨域腳本(Cross-domain scripting)是攻擊者常用的一種策略,可以導(dǎo)致在一個(gè)安全網(wǎng)站開(kāi)啟的瀏覽器窗口被重新定向到另一個(gè)不同的安全網(wǎng)站。IE7可以確保瀏覽器即使被重新 定向,其中的腳本以及其他Web對(duì)象也能保持同樣的安全性。默認(rèn)情況下,IE7的配置是禁止所有區(qū)域的跨域數(shù)據(jù)交換。當(dāng)網(wǎng)站使用跨域腳本并有可能存在風(fēng)險(xiǎn)時(shí),IE7會(huì)阻止腳本 URL以及DOM對(duì)象中的重定向?qū)Ш健_@意味著網(wǎng)頁(yè)中的腳本將無(wú)法與其它網(wǎng)站中的數(shù)據(jù)進(jìn)行交互任務(wù)。
Vista中的IE保護(hù)模式
在Windows Vista中,IE7與用戶帳戶控制(UAC)功能協(xié)同工作,使瀏覽器處于默認(rèn)的保護(hù)模式下。在這種模式下,瀏覽器僅具備訪問(wèn)網(wǎng)頁(yè)的最低權(quán)限,瀏覽器中的插件和附加功能 也都是以最低權(quán)限模式運(yùn)行。
保護(hù)模式可以幫助瀏覽器阻止網(wǎng)站在用戶不知情的情況下,在用戶的電腦中安裝惡意代碼。在這種模式下,瀏覽器只能在系統(tǒng)的Temporary Internet Files(TIF)文件夾中寫(xiě)入數(shù) 據(jù),而禁止在其它任何位置寫(xiě)入數(shù)據(jù),除非用戶手動(dòng)許可。
如果確實(shí)需要在Temporary Internet Files以外的文件夾中寫(xiě)入數(shù)據(jù),IE7會(huì)開(kāi)啟一個(gè)“代理進(jìn)程”實(shí)現(xiàn)更安全的提升權(quán)限的方法。這個(gè)代理進(jìn)程是被特殊設(shè)計(jì)的,因此在用戶不輸 入的情況下,是不會(huì)被執(zhí)行的。
| 共2頁(yè): 1 [2] 下一頁(yè) | ||
|
