Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Biztonsági "újdonságok" az IE8-ban

2008.07.03. 19:56 | buherator | Szólj hozzá!

A Microsoft bejelentette, hogy több új biztonsági fejlesztést hajtott végre az Internet Explorer 8-as változatában. Lássuk hát, hogy mi van a Miculás puttonyában:

A legfigyelemreméltóbb újítás egy NoScripthez hasonló XSS blokkoló megoldás, amely kiszűri a megjelenített oldalból a gyanúsnak vélt kódrészleteket. A fejlesztők nem voltak könnyű helyzetben: egy hajszál vékony csíkon kellett volna lavírozniuk a biztonság és a használhatóság között, ez pedig lehetetlen feladatnak bizonyult, és ők a használhatóság felé mozdultak el. Az IE nem kérdez, egyszerűen blokkolja az általa károsnak vélt kódokat.  Kérdés hogy a szűrő mennyi hamis negatív és hamis pozitív eredményt produkál, én sajnos úgy látom, hogy ez esetben nagy árat kell majd fizetnünk a kényelemért. A Facebook felhasználóknak azért - ha nem akarnak a NoScripttel bajlódni - érdemes lehet átváltani a még béta állapotú böngészőre, mivel nem rég fedeztek fel jó néhány XSS-re alkalmas rést a közösségi oldalon, hátha meg lehet így úszni egy támadást.

Az adathalász támadások kivédéséhez a böngésző (a Google-höz hasonlóan) több helyről is folyamatosan gyűjti a phishing oldalakról szóló bejelentéseket, és természetesen ezek alapján figyelmeztet a gyanús siteokra. Ennél innovatívabb megoldásnak tűnik, hogy az Explorer kiemeli a meglátogatott oldal URL-jét, amennyiben pl. egy e-mailből nyitottuk meg azt, így emlékeztetve a felhasználót arra, hogy ellenőrizze a kapott címet. A böngésző ezen kívül a meglátogatott oldal struktúrája alapján képes heurisztikus jelzést adni arról, hogy adathalász oldallal van dolgunk.

Hasznosnak ígérkező fejlesztés továbbá, hogy a böngésző az általa kezelt adatokat képes egy nem-futtatható memóriaterületre írni, így gátat lehet szabni pl. bizonyos puffer túlcsordulásos támadásoknak. Ez a lehetőség IE7 alatt komoly instabilitást okozott, de mostanra úgy tűnik, sikerült elhárítani ezeket a problémákat, bár ez a funkció csak Vista SP1 és Server 2008 platformokon érhető el.

Ezeken kívül egy sor egyéb kicsi de hasznos biztonsági lehetőség került bele a programba, ezekről bővebben az IEBlogon olvashattok. Én úgy gondolom, hogy a frissítéset követően mindenképpen egy nagyságrendekkel biztonságosabb böngészőt kapunk kézhez, de arról már nem vagyok meggyőződve, hogy emellett a rengeteg új funkció mellett a teljesítménytől is el leszünk ragadtatva.

Címkék: facebook internet explorer

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.