微软发布IE8新安全功能 防御跨站攻击

微软IE安全计划经理Eric Lawrence周三（7/2）在部落格中揭露了IE 8的新安全功能，目前IE 8已处于公开测试阶段，而新的安全功能则可望在8月出炉的IE 8 Beta 2中露面。

Lawrence表示，安全是进行可信赖网络浏览的核心特质，而IE 8则提供重大的改善以解决逐渐增加的网络安全问题。IE团队将网络威胁分为三个类别，分别是网络应用程序漏洞、浏览器及插件漏洞，以及社交工程威胁等，IE 8则针对不同的威胁提供多种防范措施。

在网络应用程序漏洞部份，IE 8新增了跨站攻击（Cross-Site-Scripting，XSS）防御、支持更安全的混搭程序建置、更新MIME（Multipurpose Internet Mail Extensions）管理等。Lawrence说，XSS已凌驾缓冲区溢出，成为最常见的软件漏洞，它利用网络应用程序的漏洞以窃取用户的浏览纪录或其他数据，甚至用来发动其他攻击，因此IE 8提供了XSS过滤装置以避免相关恶意软件的执行。不过，Lawrence也建议网站业者必须同步消除网络应用程序中的XSS漏洞才能确保网络安全。

此外，混搭程序的盛行也导致开发人员所引用的第三方应用程序可能直接存取网站上的文件对象模型（DOM）与非HttpOnly Cookie。因此，IE 8对HTML 5跨文件传讯的支持功能可让IFRAME间的沟通更安全同时可隔离DOM，并提供XDomainRequest对象以提供跨网域取得公开数据时的网络安全。在MIME的管理上，IE 8更新了处理图像文件的方式，如果该图像文件的下载服务器说明这是一个图像文件，那么IE 8就不会执行嵌在图像文件中的描述性程序，以防止黑客透过图像文件寄送恶意软件或连结。

在浏览器防御部份，提供安全插件功能、更新保护模式、应用程序协议提醒功能及档案上传控制等功能；在社交工程威胁部份，改善了网址列功能、新增SmartScreen过滤装置。

Lawrence说明，应用程序协议处理器可让第三方的应用程序直接自窗口中的浏览器或其他应用程序执行，该功能非常的强大，再加上有些注册为协议处理器的应用程序含有许多漏洞使得它成为黑客攻击途径，因此IE 8在执行这些应用程序协议时新增了提醒功能。而档案上传功能经常成为信息泄露的管道，因此IE 8更新了档案上传控制功能，包括将档案路径编辑窗口设为只读，以及关闭"上传档案时包括区域目录路径"的默认。

至于防止社交工程威胁方面，则是在网址列上用黑字强调特定网站关键的域名，同时透过不同的网址列颜色来区分安全或是具威胁的网站，供使用者容易识别；SmartScreen过滤工具强化了7.0所使用的网钓过滤机制，防堵的不再只是钓鱼网站，同时还包括含有恶意软件的网站，提供全面的恶意软件防御能力。