IE 7 sigurnosne novotarije

Unazad nekoliko godina Internet Explorer (IE) je nakupio puno negativnog publiciteta uzrokovanog sigurnosnim propustima unutar njega samoga. Nakon dobivene višegodišnje bitke sa Netscape Navigatorom, razvoj IE-a je skoro pa potpuno stao - nove mogućnosti i poboljšanje sigurnosti su tada bile potpuna nepoznanica... Zbog činjenice što je IE usko vezan za samu jezgru windowsa, jako često je bio meta spywarea, crva, raznih exploita koji su značajno ugrožavali milijune korisnika. Posebno je ozbiljno to što IE drži oko 90% tržišta web preglednika. SP1 početkom 2003 nije ništa značajno promjenio i agonija se nastavila sve do ljeta 2004 i izdavanja SP2 za Windows XP. SP2 za Windows XP je IE-u donio nekoliko promjena koje su dale malo svjetla na tmurnu sigurnosnu situaciju. To je otprilike sve za ovih 5 godina od XP-a i ljeta 2001 pa do ljeta 2006 kada će vjerojatno biti lansirana finalna inačica Internet Explorera 7. Microsoft će ponuditi dvije verzije; jedna će biti
namjenjena za korisnike Windowsa XP SP2-a kao samostalna verzija koja će nadograditi postojeći IE 6.0. Druga će biti integralan dio nove generacije windowsa - Windowsa Viste. Ta verzija će imati nekoliko dodatnih sigurnosni prednosti i neće
biti dostupna kao samostalna verzija. Jedna od prednosti verzije integrirane u Windows Vistu je i protected mode - način rada koji će posjedovati Vista, a u kojem će prava korisnika biti smanjena pa samim time i prava malwarea koji neće imati ovlasti za bilo kakvo dublje zadiranje u operativni sustav. Primjerice neće moći pristupati registryu, sistemskim datotekama te će moći pisati samo unutar Temporary Internet Files direktorija. Ta mogućnost se zove User Account Protection (UAP) koji onemogućuje da browser direktno pristupa operativnom sustavu. Za veće ovlasti morate uputiti zahtjev za privilegirani pristup, kao što je instaliranje ActiveX kontrole ili spremanje web stranice - to ćete napraviti da pritisnite IE UI - ta
akcija će pozvati proces koji će biti posrednik između browsera i operativnog sustava. Osim toga moći ćete odrediti koje će ActiveX kontrole biti dostupne browseru, a koje operativnom sustavu. Upravo navedeni razlozi su glavni razlozi zašto bi bilo bolje da se odlučite za tranziciju na Windows Vistu (u kojoj će se nalaziti IE 7) koja će sadržavati i mnogo drugih sigurnosnih mogućnosti.

Microsoft je odradio i poboljšanja na sučelju kako bi korisnici što brže pristupili novim sigurnosnim mogućnostima. Za primjer izbornik Tools je sad lako dostupan i uključuje nekoliko novih opcija koje uključuju phishing filter i novu mogućnost Delete Browsing History koji briše kolačiće, povijest surfanja, spremljenje podatke za automatsko ispunjavanje web formulara (koji uključuju i lozinke) te privremene datoteke. Još jedna novost je da će kao primarni HTTPS (HTTP Secure) protokol biti postavljen TLS (Transport Layer Secure) u inačini 1.0 te će SSL (Secure Sockets Layer) 2.0 biti isključen. TLS će omogućiti snažniju enkripciju prometa odnosno veću sigurnost. IE 7 će bolje informirati korisnike o problemima sa cetifikatima; npr. ako je certifikat izdan na ime hosta koji je različit od imena u URL-u, IE 7.0 će preusmjeriti korisnike
na upozoravajuću stranicu. Korisnici mogu nastaviti sa učitavanjem stranice, ali će stalno vidjeti upozorenje o tome da je sigurnost stranice upitna (npr. address bar će biti obojan u crvenu)... IE 7 će sadržavati i phishing filter. IE 7 phishing filter će analizirati svaku web stranicu na karakteristike koje su karakteristične za phishing siteove. Ako IE 7 procjeni da je riječ o phishing siteu upozorit će korisnika na to. Ispitivat će se i URL svakog web zahtjeva tako da će pokušati odrediti legitimnost web odredišta. Na lokalnom računalu će biti prisutna lista hostova (siteova) za koje se zna da su legitimna, a na popisu će se naći velike svjetske banke koje su najčešće žrtve phishing prijevara. Ako zatražena adresa hosta bude ista kao i
jedna u bazi tada će tom hostu IE dozvoliti pristup bez ikakvih upozorenja. Unaprijeđena je i kontrola BHO (Browser Helper Objects) objekata uz pomoć opcije Manage Add-ons koja je nalazi u izborniku Tools. Omogućuje korisniku da vidi status nekog plug-ina gdje je na raspolaganju opcija za brisanje istog. U istom prozoru korisnik može vidjeti koje je plug-inove IE koristio, koji su trenutačno pokrenuti, koji se pokreću zajedno sa IE-om i prikazuje downloadane ActiveX kontrole (32-bitne).
IE 7 također sadrži i nekoliko sigurnosnih poboljšanja "ispod haube" (cross-domain barrier, cURL) koji se neće očitovati GUI-em ali će biti primjetne.

Linkovi:

http://www.microsoft.com/windo...y/columns/securityupgrade.mspx
http://www.eweek.com/article2/0,1895,1876659,00.asp
http://www.pcworld.com/news/article/0,aid,123898,00.asp
http://blogs.msdn.com/ie/
http://www.infoworld.com/article/05/10/27/HNie7changes_1.html
http://software.silicon.com/security/0,39024655,39150844,00.htm
http://pcsupport.about.com/b/a/213586.htm
http://www.techweb.com/wire/software/172900238
http://news.com.com/Microsoft+...plans/2100-1029_3-5917001.html
http://www.techweb.com/wire/security/174906971
http://www.onekit.com/store/review/420.html
http://www.techspot.com/news/1...t-tightens-ie-7s-security.html
http://www.itbusinessedge.com/item/?ci=8355
http://governmententerprise.com/news/172900257
http://www.techtree.com/techtree/jsp/showstory.jsp?storyid=57662
http://feeds.computerworld.com/Computerworld/Security/News?m=136
http://www.infoworld.com/article/05/12/12/HNie7defaults_1.html

---

http://www.security-protocols.com/advisory/sp-x23-advisory.txt

Koliko sam procitao, jos uvek rade na onesposabljanju malware-a kad on vec udje u sistem (da ne moze tamo nista da uradi) umesto da bi suzbijali samo upadanje malware-a

2.: activex i dve razlicite zone.. hmm, jos uvek ce da bude prvo "alert('cick yes in next windows to get your free xxx porn')" pa onda piranje dali zelite da pustite da se pokrene activex na sistemskom nivou..

negde sam procitao da je ne znam koliko % koda na novo napisanog, sto znaci opet novi propusti.

---

Sasvim normalno.

---

http://www.mikro.co.yu/mkvesti/prikaz.php?broj=7798

---

Još jedan dobar overview: http://www.computerworld.com/n...36,00.html?SKC=security-110236

---

Tako se sa svaku novu verziju kaze da je otklonjeno 5.000 sigurnosnih propusta a ne kaze se da je dodato 6.000 novih.

---

Vrijeme će pokazati koliko je IE7 (ne)siguran...

---

znaci da ne prelazimo jos na verziju 7.

Ako koristiš IE6, IE7 je apsolutno tvoj sljedeći korak... Rekao bi, nužan korak, jer IE7 ipak donosi nove, prijeko potrebne, funkcionalnosti što se tiče sigurnosti i promjene na kodu. Vrijeme će pokazati koliko je IE7 otporniji na sigurnosne propuste od IE6, trebao bi biti otporniji (i vjerujem u to) - ali i je po tom pitanju na razini IE6, nove funkcije su dovoljan razlog da prijeđeš na sedmicu. Ipak će IE7 svoje dodatne vrijednost pokazati u sprezi sa Vistom, tako, nemojte samo očekivati nešto spektakulatno dotada, ali promjene/novosti nisu male.

---