Технологии безопасности в IE9

Теоретический материал

Режимы InPrivate

Наличие данного режима в веб-браузере Internet Explorer 9 (IE9) по достоинству смогут оценить те, кому приходится работать на чужом компьютере, поскольку новый режим просмотра InPrivate:

• Не сохраняет новые cookie файлы;
  • Все новые cookie файлы сохраняются только до закрытия окна;
  • Ранее созданные cookie файлы остаются доступными;
• DOM Storage работает по такому же принципу, как и cookie;
• Просмотренные сайты не будут запоминаться в историю посещений;
• Временные файлы будут удаляться после закрытия окна;
• Данные форм не сохраняются;
• Пароли не сохраняются;
• Адреса, введенные в строку адреса, не сохраняются;
• Запросы, введенные в поле поиска, не сохраняются;
• Посещенные ссылки не сохраняются.

Кроме того, IE9 позволяет пользователю удалять журнала браузера, а специальный InPrivate фильтр информирует его о страницах, которые могут просматривать историю посещений пользователей, и позволяет блокировать такую возможность.

Рассмотрим данные функции более детально.

Режим просмотра InPrivate

По-сути, режим просмотра InPrivate предотвращает сохранение данных о сеансах просмотра веб-браузером IE. Это помогает предотвращать получение посторонними пользователями компьютера информации о посещенных страницах и просмотренном содержимом. При запуске функции просмотра InPrivate IE открывает новое окно. Защита, обеспечиваемая режимом просмотра InPrivate, применяется только во время использования этого окна. В этом окне можно открывать любое количество вкладок, и все они будут защищены с помощью режима просмотра InPrivate. Однако при открытии другого окна браузера оно уже не будет защищено с помощью данного режима. Для завершения сеанса просмотра в режиме InPrivate, необходимо просто закрыть окно браузера.

В таблице ниже приводится более подробное описание действия режима просмотра InPrivate.

Фильтр SmartScreen

Фильтр SmartScreen - один из инструментов веб-браузера IE, позволяющий обнаруживать поддельные веб-узлы. Он также обеспечивает защиту от установки вредоносного программного обеспечения.

Защита обеспечивается тремя следующими способами:

• Фильтр SmartScreen работает в фоновом режиме при просмотре веб-страниц, анализируя их и определяя, содержат ли они характеристики, которые могут быть подозрительными. При обнаружении подозрительных веб-страниц фильтр SmartScreen отобразит сообщение, обеспечивающее возможность предоставления отзыва и рекомендующее продолжать работу с осторожностью.
• Фильтр SmartScreen проверяет, содержатся ли посещаемые узлы в постоянно обновляемом списке обнаруженных поддельных узлов и узлов, распространяющих вредоносное программное обеспечение. При нахождении соответствия фильтр SmartScreen отобразит окно предупреждения красного цвета, уведомляющее о том, что узел блокирован для обеспечения безопасности.
• Фильтр SmartScreen также проверяет, содержатся ли файлы, загруженные из Интернета, в аналогичном динамически обновляемом списке обнаруженных узлов, распространяющих вредоносное программное обеспечение. При нахождении соответствия фильтр SmartScreen отобразит окно предупреждения красного цвета, уведомляющее о том, что загруженный объект блокирован для обеспечения безопасности.

Фильтр межузловых сценариев (XSS)

Фильтр межузловых сценариев (XSS) в Internet Explorer помогает предотвратить добавление одним веб-узлом кода сценария на другой веб-узел. Фильтр XSS наблюдает за взаимодействием веб-узлов и при определении возможной атаки автоматически блокирует запуск кода сценария. В подобных случаях на панели информации будет отображено сообщение, позволяющее узнать об изменении веб-страницы, чтобы защитить конфиденциальность и обеспечить безопасность.

Общая защита

В IE9 поддерживаются также следующие технологии защиты:

• поддержка кросс-документного обмена сообщениями HTML5 (HTML5 cross-document messaging);
• новый объект XDomainRequest для передачи данных через домены;
• новая функция toStaticHTML, которая позволит избежать внедрения опасного кода на страницы путем форматирования html-тегов;
• IE 9 реализует функции ECMAScript 3.1 для работы с JSON. Для обеспечения безопасности, объект для работы с JSON содержит функцию parse, которая так же как и toStaticHTML надежно форматирует потенциально-опасный текст;
• браузер содержит улучшения в механизме MIME-sniffing, который позволяет определять браузеру содержимое страницы не по значению поля заголовка ответа сервера "content-type", а по содержанию. Теперь, например, при "content-type: image/*" браузер не будет обрабатывать вложенный html- или скрипт-код. При этом для управления фильтром разработчик может воспользоваться новым параметром authoritative и указать "Content-Type: text/plain; authoritative=true;", - в этом случае IE9 не будет пытаться определить тип содержимого, интерпретируя его согласно указанию в поле "Content-Type";
• новые параметры для HTTP-заголовков X-Download-Options: noopen и Content-Disposition: attachment; filename=untrustedfile.html указывают браузеру, что он должен сохранить полученное от сервера содержимое вместо того, чтобы его отобразить. Это может быть использовано в том случае, когда веб-приложению требуется передать пользователю страницу с небезопасным содержимым. В случае сохранения его на клиентском компьютере и последующем открытии такие страницы не будут работать в контексте сервера, что повысит уровень его безопасности;
• в элементе формы File Upload в целях безопасности изменен статус поля ввода на read-only. Кроме того, IE9 отправляет не полный путь файла, а только его имя;
• IE9 так же содержит некоторые методики противодействия атакам с применением социальной инженерии.