IE8 будет обладать новым механизмом безопасности личных данных
Новый Internet Explorer 8 сможет избавить пользователей сети Интернет от атак, которые похищают пароли электронной почты, банковские счета и другую всевозможную личную информацию при помощи включения специального вредоносного кода в доверенные веб-сайты.
Как известно из практики, подобным атакам не раз подвергались такие сервисы, как Google, Yahoo, MySpace и другие сайты, принадлежащие различным банкам и организациям. В качестве предосторожности от таких атак пользователи были вынуждены перейти на использование браузера Firefox с его плагином «NoScript», хоть и не самым идеальным. Internet Explorer до сих пор таким средством защиты не обладал.
К радости пользователей, корпорация Microsoft сообщила о том, что IE8 должен включить в свой состав новый XSS-фильтр, который не будет сказываться на производительности просмотра сайтов и вызывать непонятные ошибки и уйму назойливых диалоговых окон. Новый фильтр будет работать лишь на тех сайтах, на которых выполняются скрипты и игнорировать другие объекты. На уровне политики безопасности можно будет внести так называемую «доверенную зону» в работу фильтра.
Принцип работы новшества заключается в том, что при обнаружении скрипта специальный эвристический механизм инспектирует URL и POST-информацию с запрошенной страницы на наличие частоиспользуемых выражений, URL сканируется на наличие подозрительных символов (тэги скрипта), и при обнаружении таковых подвергается проверке весть HTML-код, после чего генерируется сигнатура. Данная сигнатура будет в дальнейшем сравниваться с HTTP-ответом на специальный запрос браузера и все небезопасные скрипты тем самым будут нейтрализованы. В качестве предупреждения о возможном нападении после открытия такой страницы на монитор будет выведено предупреждение о том, что запрошенная страница была преобразована при помощи фильтра для предотвращения XSS-атаки.
Интересен тот факт, что оппоненты IE уже начали сомневаться в надежности нового метода. Джорджио Маоне (Giorgio Maone), создатель NoScript, сообщает, что фильтр, создаваемый Microsoft, вероятнее всего будет пропускать множество сетевых атак из-за наличия этой проверки HTTP на соответствие. JavaScript-скрипты вполне могут обойти данный механизм, а XSS, которые возвращают ответы частично, могут быть попросту проигнорированы. «Если уже известны варианты обхода такой защиты, то имеет ли смысл вообще ее создавать?» - заявляет Маоне.
