科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>深入了解IE7新安全特性

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

与前一版本相比,IE 7提供了一系列增强的安全特性,可以令用户上网更加安全。

来源: 2006年12月12日

关键字:Windows Vista IE 7 安全管理 浏览器

与前一版本相比,IE 7提供了一系列增强的安全特性,可以令用户上网更加安全。在本文中,笔者将向大家介绍IE7中主要的安全特性,如Active X opt-in, Phishing Filter, 以 及跨域安全性和其它一些小的安全改进,如无插件模式和用色彩标记网站是否经过验证等功能。

与IE6相比,IE 7从外观上看最大的改变就是采用了多页面形式,用户可以通过标签转换不同的浏览页面,再也不用开启多个IE窗口了。但是微软对IE7宣传最多的还是其安全性的 增强。作为XP中IE6浏览器的升级版本以及Windows Vista中的内置浏览器,IE7提供了一系列安全机制确保用户上网浏览的安全。下面我们就来逐一介绍IE7中主要的安全功能。

控制Active X
在以往的IE用户中抱怨最多的,同时也是很多人放弃IE选择Firefox或其它浏览器的一个主要原因,就是由Active X控件带来的安全隐患。Active X可以让Web开发人员创作出纯 HTML代码无法实现的网页功能。然而,由于Active X控件是一种可执行文件,并且可以被浏览器自动下载并执行,因此一些网络攻击者经常会编写一些恶意Active X控件,对用户 的电脑进行控制,与其它电脑进行连接,并在用户不知情的情况下将用户的重要数据传送到其它电脑上。

微软对Active X控件的安全性也相当关注,在众多安全专家的研究下,IE7对于Active X控件的控制机制有了重大改变。在IE7中,一个被称为Active X opt-in的新功能可以在默认 状况下禁止任何Active X控件自动安装到用户的电脑中。如果用户访问了一个带有Active X控件的网站,在浏览器上方会出现一个信息条,告诉用户该网站试图安装并运行一个 Active X控件(包括控件名称以及发布公司的名称)。用户可以自行选择是否安装并运行这个控件。

安全机制的关键在于,如何在保护能力和用户便利性之间做到平衡。在Windows Vista中,为了安全而默认开启了UAC(用户帐户控制),而很多用户都抱怨无处不在的UAC对话框令 他们的工作变得很繁琐。为了在增强安全性的同时不影响用户的操作便利性,微软在Active X opt-in功能中加入了一个经过预先核准的控件名单,当浏览器遇到网页中的这些控件 时,就不会再让用户进行选择是否安装或运行该Active X控件了。列表中的控件均为常用的安全控件,用户不需要事先进行确认。

另外,用户可以基于不同的网络区域对Active X opt-in功能进行开启或关闭。默认情况下,Active X opt-in在Internet区域和受限站点区域都是开启的,而在intranet区域和可 信站点区域则是关闭的。这些设置可以在Internet Options | Security下进行修改。用户可以在这里选择需要修改的区域,然后点击Custom Level按钮,在弹出窗口中进行适当的 设置(如图A所示)。

图A:用户可以为不同的网络区域定制Active X opt-in的详细参 数

Active X控件的开发人员可以通过使用站点锁(限定控件只针对特定的网站域名)功能和网络区域锁(限定控件只在IE位于某一特定区域—如intranet区域—才运行)功能让自己 的控件变得更加安全。同时还应该为自己的控件设置数字签名。

拒绝网络钓鱼
为了应对日益严重的网络钓鱼(phishing)问题,微软在IE7中加入了Microsoft Phishing Filter(微软网络钓鱼过滤器)。该功能会自动将用户访问的网站与一个已知的网络钓 鱼网站列表比较,如果用户访问的网站与该列表上列出的某个网站域名一致,则会对用户发出警告。如果用户不希望自动对全部网站进行网络钓鱼检查,可以选择只对那些用户感 到怀疑的网站进行检查。要实现这种功能,用户可以点击Tools | Phishing Filter | Check This Web Site来实现。

如果用户感觉一个网站肯定是网络钓鱼网站,但是IE7中的过滤名单中又没有该网站域名,在这种情况下,用户可以将该网站汇报给微软,微软会对用户的报告进行研究,如果确认 是钓鱼网站,便将其加入网络钓鱼网站的数据库中。Phishing Filter采用启发式工作方式,可以自动判断一个网站是否具备网络钓鱼网站的特征,如果具备,则将其标记为可疑站 点。

用户可以关闭Phishing Filter或者开启或关闭自动检查功能。这些设置都位于Internet选项中的高级设置(Advanced Settings)选项卡中,如图B所示。

图B:用户可以在Internet选项中的Advanced Settings选项卡中 配置Phishing Filter

跨域安全性
跨域脚本(Cross-domain scripting)是攻击者常用的一种策略,可以导致在一个安全网站开启的浏览器窗口被重新定向到另一个不同的安全网站。IE7可以确保浏览器即使被重新 定向,其中的脚本以及其他Web对象也能保持同样的安全性。默认情况下,IE7的配置是禁止所有区域的跨域数据交换。当网站使用跨域脚本并有可能存在风险时,IE7会阻止脚本 URL以及DOM对象中的重定向导航。这意味着网页中的脚本将无法与其它网站中的数据进行交互任务。

Vista中的IE保护模式
在Windows Vista中,IE7与用户帐户控制(UAC)功能协同工作,使浏览器处于默认的保护模式下。在这种模式下,浏览器仅具备访问网页的最低权限,浏览器中的插件和附加功能 也都是以最低权限模式运行。

保护模式可以帮助浏览器阻止网站在用户不知情的情况下,在用户的电脑中安装恶意代码。在这种模式下,浏览器只能在系统的Temporary Internet Files(TIF)文件夹中写入数 据,而禁止在其它任何位置写入数据,除非用户手动许可。

如果确实需要在Temporary Internet Files以外的文件夹中写入数据,IE7会开启一个“代理进程”实现更安全的提升权限的方法。这个代理进程是被特殊设计的,因此在用户不输 入的情况下,是不会被执行的。

锁定安全区域
IE7中的安全区域拥有了更多的限制。如果计算机不属于某个Windows域,则intranet区域默认情况下是被禁用的。与Internet区域相比,intranet区域所受到的限制一般来说要少 一些。大多数家庭用户和小型企业用户都是工作在基于点到点的网络上,他们并不访问intranet,因此也不需要intranet区域。另外,默认设置下,受信区域的站点也具有了更高 的安全性,同时,用户不再能通过滑动滑块的方式将受信区域的安全等级降低到Low 或者Medium Low等级,而必须通过详细设置将其安全等级降低到Medium级别以下。

更好的SSL/TLS通知
在IE7中,用户可以更清楚地知道他们的网络事务(如网络银行或通过信用卡进行网络购物的支付)是通过安全套接层(SSL)或传输层安全(TLS)协议来提供安全保障的。这些协 议都是网站用来进行身份验证以及实现加密数据传输的。

当用户访问HTTPS网站时,IE7的地址栏右侧会出现一个锁形图标。用户可以点击这个图标察看用来实现加密连接的数字认证以及相关的各种信息,如图C所示。在以前版本的IE中, 这个图标位于窗口下端,而且图标较小,很容易被用户忽略。

图C:更突出的SSL/TLS图标可以让用户更方便的了解网站是否安 全

额外的安全增强
除了上面提到的主要的安全特性,IE7中还进行了不少小的安全改进,可以让用户的网络浏览更加安全。其中主要包括:

  • IE 7 在浏览器地址栏通过色彩方式来显示站点的安全等级。如果网站经过了安全性认证,具有较高的安全性,那么地址栏就会变成绿色。

  • 新增了三个被称作Feature Control的注册表键,他们可以确保HTML(intranet和Internet) 不会获取用户的个人信息。在默认情况下,IE 7选定了该功能。当浏览器在同一个 网站,或者跨网站浏览时,将不能访问缓存对象。

  • 在IE7中,用户可以更方便的删除浏览器历史纪录,缓存页面,网页对象(临时文件夹中),IE纪录的用户密码,网站cookies,以及网页表单中的数据,从而更好的保护用户的 隐私(尤其是在公用电脑上上网时)。所有这些内容都可以在一个简单的窗口中进行删除。如图D所示。

    图D:只需点击一下,就可以将上网纪录全部删除,从而保护用户 隐私

  • 以前,经常有不带地址栏的弹出窗口,这经常让用户对该网站的安全性产生怀疑。在IE 7中,所有的窗口都带有地址栏,因此用户可以方便的察看当前页面的地址。

  • 浏览器插件或扩展工具经常在系统中开启后门,带来安全威胁。如果用户对此感到恐惧,可以采用IE7的“无插件”模式。这种模式也可以用于解决恶意网页带来的页面无法打 开等情况。 在以前,如果由于浏览器插件和扩展工具导致了IE浏览器崩溃,而用户又没有安装其他替代的浏览器,那么将无法正常上网下载相应的工具来修复浏览器问题。

  • 有些聪明的网络攻击者在URL地址中采用类似英语字母的其它语种字母,从而让粗心的用户将恶意网站当作合法网站。在IE7中,这种域名哄骗的小聪明将不再有用武之地,因 为IE7会告诉用户网页地址中存在不同语言的字母。

    术语表

  • ActiveX: 是由微软开发的一种技术。它是Object Linking and Embedding (OLE) 以及Component Object Model(COM)的副产物,可以让Web开发人员开发出交互式的网页,并 提供类似于Java applets的各种功能。

  • User Account Control (UAC): 是Windows Vista中应用的一种安全技术,通过采用非管理模式运行各个任务,降低系统受黑客攻击的风险。就算以管理员身份登陆也可以实现 相应效果,除非运行某一任务必需要管理员权限。用户必须额外输入具有管理权限的账户才能将必须在管理权限下运行的程序提升到管理权限。

  • Phishing:这是一种基于广大电脑用户习惯的社会学欺诈方式。一般用户都会通过邮件中的链接直接访问各种网站,如银行网站、租赁公司网站、信用卡公司的网站、电子商务 网站、政府机构网站,或其它需要用户输入验证信息(如账户和密码、社保号等)的网站。骗子则会通过模仿正规网站的方式建立一个假网站,用户通过邮件链接到假网站,即被 骗取了个人信息。

  • Scripting:采用简单的编程语言(脚本语言)在网页中实现某种功能

  • Security zones:IE中所采用的一种技术,通过地理位置或者用户对其的信任度来区分不同安全等级的网站。比如,如果用户对某一网站不信任,则可以将其归类为受限区域( Restricted zone);如果用户认为某一网站是安全的,可以将其添加到可信区域(Trusted zone)。默认情况下,位于互联网上的网站安全性要低于企业内网中的网站。

  • SSL/TLS:Transport Layer Security (TLS) 是Secure Sockets Layer (SSL)的后继。SSL最初由网景公司开发,用于互联网上电子商务数据传输的安全保密。他采用公钥 (非 对称)加密和数字认证方式来确保与Web服务器进行商务操作的用户具有正确的身份,并对用户身份进行验证以及对称加密和传输。算法包括DES/3DES或AES等。

    (责任编辑:陈毅东

    查看本文的国际来源

  • 推广二维码
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题