2011年11月16日星期三

IE9保護網絡私隱

「若將網絡瀏覽比作駕車,瀏覽器則是輪胎,直接與地面接觸,最為基本也最易被忽略。」微軟香港Windows Client業務部主管熊世賢如此形容。當前瀏覽器市場不再一家獨大,聚焦性能競爭之餘,安全性也不容小視。IBM X-Force2011年中威脅及風險報告揭示,瀏覽器安全雖有所好轉,但依然佔據用戶終端問題前列,SQL注入以及跨站攻擊(XSS)仍是常見手段。
去年IE漏洞事件令對手趁機搶佔份額,微軟交足學費,今年NSS Lab第三季全球報告中指,IE9效能提升,可阻截99.2%的社交工程(Social Engineering)攻擊,防御能力遠拋其他瀏覽器。

保護私隱

「網絡攻防從釣魚到惡意軟件,下一步將邁入私隱領域。」熊世賢說,雖然目前Safari及Firefox都積極投入私隱瀏覽研發,但功能覆蓋暫未及IE9全面。啟用IE9 InPrivate瀏覽,用戶瀏覽、搜索歷史與Cookies等將不會被記錄。

用戶瀏覽或搜索時,甚至無須點擊,其私隱訊息即能透過網頁中第三方提供視訊及廣告泄露,社交網絡流行也進一步推動私隱爭議,網絡廣告商與其協力廠商可收集用戶網絡行為、偏好甚至聯絡訊息,進行針對性營銷,或高額出售以賺取利潤。內建於IE9瀏覽器中的Tracking Protection功能,可監測網站中此類外站資訊傳送,切斷追蹤。「當然,用戶可自行定制封鎖清單,選擇對哪些供應商予以放行。」

不少網站編寫疏忽,又或設計人員缺乏經驗,令不法者輕易利用程式漏洞,植入惡意SQL代碼,無辜用戶極易中招。「用戶見到https即以為經SSL加密,足可保障資訊安全;實際上,https網頁極可能混合http不安全內容,令惡意程式碼可從看似安全的網站內攫取登錄密碼及等用戶訊息,用戶甚至無法察覺。」IE9具Smart Screen篩選功能,可偵測並局部封鎖不安全內容,同時不會影響網站其他正常功能。

至於釣魚網站,得益其SmartScreen URL過濾功能,IE9可基於信譽評級(Reputation)進行攔截,並以顯眼紅色背景警示用戶,避免誤信偽裝頁面或鏈接而蒙受損失。Download Manager則負責網絡應用,於用戶下載惡意應用時阻攔預警。「有時也會出現難以單純判定的應用,IE9不會強行攔阻,而是將選擇權交還用戶。」
對於倚靠信譽的防護手段,數據庫效率乃是關鍵,如未能儘早更新黑名單,或會波及全球大量用戶。NSS Lab報告指,憑藉微軟及協力廠商之動態數據庫,IE9於0.56小時內即可將釣魚或惡意網站拖入黑名單,反應速度快於其他瀏覽器。

用戶習慣同時開啟多個分頁瀏覽,IE9也因應加入了防崩潰及復原功能。通過隔離標籤頁,即使單一瀏覽網頁載入緩慢或出現故障崩潰,也不至影響其他標籤頁運作,毋須重新啟動瀏覽器;而分頁重載後,用戶已輸入信息亦不會丟失。微軟與GPU業界兩大巨頭NVIDA及AMD合作,令IE9可支援電腦GPU加速,從而減輕CPU負載,不僅HTML5處理效率躍升,崩潰機會亦隨之降低。

與支付寶合作

此外,微軟日前在內地與支付寶聯盟,提供定制版IE 8及9瀏覽器,內建支付寶安全插件,為淘寶買家實現快捷的安全支付,並計畫將此合作服務延伸至香港。

據悉,Windows Phone IE9 Mobile版暫未能提供InPrivate及SmartScreen。熊世賢表示:「微軟認為手機瀏覽更為私人化,因此不同裝置上功能各有側重。」

沒有留言:

發佈留言