IE8新增的跨站指令碼篩選工具則可偵測到這類攻擊,並對受感染的指令碼進行解讀、阻止執行。
微軟9月釋出新一代瀏覽器IE8繁體中文beta版後,今天(10/21)在台對媒體展示新功能時表示,IE8在安全性上有相當大的提升,
如新增的XSS防護。另外,IE8也開始符合W3C所制定的瀏覽器標準規格。
微軟是在上個月首度釋出繁體中文版的beta 2,今年3月發表beta 1時並沒有中文版本,且當時為提供開發人員的先期測試版本。
因此直到這一個月來,台灣使用者才真正能夠開始試用中文版的IE8。
今天微軟則是首度在台面對媒體詳細介紹IE8重點功能,台灣微軟前端平台事業部產品行銷經理賴建宇表示,IE8針對新型態攻擊加強防護。
例如ActiveX以及跨站腳本攻擊(XSS, Cross-Site Scripting),他特別強調:「Google的Chrome雖然同樣強調安全性,但也還沒做到XSS防護。」
賴建宇指出,XSS是近期來較流行的攻擊行為,駭客透過網站撰寫時的漏洞,將攻擊指令碼加到正常網站中。待使用者進入瀏覽後,
指令碼就會偷偷執行,進行竊取cookies、憑證等多種行為。IE8新增的跨站指令碼篩選工具則可偵測到這類攻擊,並對受感染的指令碼進行解讀、阻止執行。
而IE7中已加入的反網路釣魚篩選工具,在IE8中進化為SmartScreen篩選器,加入惡意程式防護功能。由於透過正常網站散佈惡意程式的
攻擊比率不斷攀高,因此SmartScreen會在使用者瀏覽被植入惡意程式網站時,提出警告。這樣的功能在Firefox、Chrome已可看到,另外
如安全廠商的網頁信譽評等技術也可做到防護。
在隱私權部分,IE8增加了「InPrivate瀏覽」功能,類似Chrome中的「無痕瀏覽」。啟動該功能後,瀏覽任何網站就不會留下紀錄。
「InPrivate封鎖」功能則能夠阻止使用者資訊被分享到第三方網站。
賴建宇指出,使用者在瀏覽網站時,通常網頁都包含第三方網頁連結,可能是廣告。但使用者資訊卻很有可能在這樣的狀況下被分享出去。
他再次強調:「這個功能Chrome也還沒有。」
除了安全功能外,微軟強調從IE8開始符合W3C所制定的標準,讓網頁開發者不須為了規格不一的瀏覽器而傷腦筋。賴建宇坦承:
「微軟在IE7之前都不符合標準,而是走自己的路。」現在這麼做,雖然網站開發者必須經歷一段陣痛期,不過微軟仍要展現致力走向標準化的決心。
對於網站業者在IE7和IE8間轉換的問題,微軟分別提供開發端和使用端的解決方法。由於以IE8為標準開發的網站,利用IE7開啟時可能會有格式
跑掉的問題,不過使用者可以利用「相容模式」向下相容,讓版面恢復正常。而開發者則可在網站中加一行程式碼,就可向下相容於IE7。
檔案下載:
IE 8.0 繁體中文版From:
http://www.ithome.com.tw/itadm/article.php?c=51560