您现在的位置是:首页 > IT基础架构 > 网络与安全 >
拷问微软IE9安全 七大安全措施能否奏效?
摘要此前曾报道,软件巨头微软公司发布了新一代浏览器产品IE 9.尽管IE 9还处于技术预览版(特别为开发人员提供测试),我们从各项性能测试中发现IE 9的成绩仅次于Chrome、Firefox,不再出现排名垫底的尴尬局面。除了出色的性能外,IE 9中安全机制也是非常重要的方面,资讯网站eWe...
此前曾报道,软件巨头微软公司发布了新一代浏览器产品IE 9.尽管IE 9还处于技术预览版(特别为开发人员提供测试),我们从各项性能测试中发现IE 9的成绩仅次于Chrome、Firefox,不再出现排名垫底的尴尬局面。除了出色的性能外,IE 9中安全机制也是非常重要的方面。
此前有媒体曾报道,软件巨头微软公司发布了新一代浏览器产品IE 9.尽管IE 9还处于技术预览版(特别为开发人员提供测试),我们从各项性能测试中发现IE 9的成绩仅次于Chrome、Firefox,不再出现排名垫底的尴尬局面。
除了出色的性能外,IE 9中安全机制也是非常重要的方面,中国信息主管网搜集各方资料,为大家介绍IE 9的七大安全机制:
沙盒技术
通过采用一些沙盒技术(如谷歌Chrome浏览器就有这种功能),微软可以改善IE9的安全问题。IE9有个类似的“保护模式”,但是设计初衷却不是为了安全。TippingPoint安全研究团队领导Aaron Portnoy表示。
非进程插件
“运行尽可能多的第三方非进程插件,我认为对IE的安全状态是大有裨益的。”TippingPoint公司的Portnoy表示:“如果运行进程插件,攻击者可以利用已知或未知的技术绕过一种名为减少攻击(exploit mitigations)的反攻击技术而达到目的。DEP(数据执行保护)和ASLR(地址空间随机加载)就是这种技术的范例。”
内存地址随机化
通过将常用功能使用的内存地址随机化,攻击者就会需要大量的时间识别和重复利用漏洞代码,NSS实验室总裁Rick Moy说。
重定向跳转
“路过式下载(drive-by downloads)利用多次重定向来混淆信誉系统(如IE的SmartScreen和Google的SafeBrowsing),并将用户带到一个无用的页面,”NSS实验室的Moy说,“只允许一次的连续重定向跳转可大大提升信誉系统的有效性。”
内容安全策略
有了内容安全策略,微软可以为用户提供更多的保护,防御跨站点脚本和点阅绑架(Click jacking)攻击。Mozilla已经在其火狐浏览器中研究这种功能。
登录插件
Moy表示他很希望用户能够有能力区分插件的好坏。“代码散列/白名单技术与信誉技术的融合,能够帮助潜在的用户了解谁编写并打包了应用程序以及他们的记录是什么。”他说。
插件的安全API(一种函数)
“浏览器在防止插件免受内存攻击方面应该起到领头羊的作用,例如缓冲区溢出和堆喷剂,”Moy表示,“由此可见,浏览器不应该提供直接对内存的访问,而应该提供安全的API,但是这在降低攻击面上还有很长的路要走。”
(本文不涉密)
责任编辑:
下一篇:预算有限也能做好网络安全!