IE8 и безопасность работы в сети

На волне последних известий об изменениях в системе безопасности Internet Explorer 8 компания Microsoft опубликовала сведения о своем подходе реализации концепции безопасной работы в сети с помощью IE8.

Тема достаточно интересная и сложная, поэтому здесь важен и контекст и история. В предыдущих публикациях об IE8 разные продукт-менеджеры группы IE писали о преимуществах IE8 для разработчиков, в частности о расширенной поддержки веб-стандартов, инструментах разработки, производительности скриптов. В будущем Microsoft обещает осветить в данном блоге преимущества IE8 для рядовых пользователей. Но в данной статье Дин Хачамович (Dean Hachamovitch), главный менеджер по разработке Internet Explorer, расскажет о безопасности работы в сети - темы, которая важна, как разработчикам, так и рядовым пользователям, ежедневно блуждающим по сети.

Концепция безопасной работы отвечает нашей основной цели - создать наиболее безопасный, защищенный и надежный браузер, отвечающий нуждам современных пользователей и дающим полный контроль над информацией. Это, в свою очередь, соотносится с инициативой Microsoft Trustworthy Computing, развиваемой в течение нескольких лет. Согласно инициативе, Microsoft стремится скомбинировать четыре характеристики: безопасность, конфиденциальность, надежность и практики деловых отношений.

• Безопасность всегда являлась темой для разговоров. В данном контексте безопасность означает, что "при просмотре веб-страниц единственным кодом, который выполняется на компьютере пользователя, является код, чье выполнение разрешил пользователь ". Например, когда пользователь посещает сайт с адресом www.somebadsite.com, у сайта не должно быть возможности выполнить приложение "virus.exe", инфицировав компьютер пользователя вредоносным ПО. В этом смысле в IE7 разработчикам удалось добиться неплохих результатов. Здесь немаловажную роль играет защищенный режим, а также разработка браузера в соответствии с принципами цикла SDL. IE7 стал первым браузером, поддерживающим расширенные сертификаты валидации, которые призваны защитить пользователей от вводящих в заблуждение веб-сайтов. Кроме того, в IE7 появилась встроенная защита от фишинг-атак, поддержка доменных имен на национальных языках с защитой от вредоносных сайтов, расширенные возможности по работе с SSL и поддержка более совершенных алгоритмов шифрования, были проведены изменения в работе с ActiveX и обеспечена тесная интеграция с инструментами родительского контроля в Windows Vista. В IE8 разработчики сделали еще несколько шагов вперед к еще более защищенному веб-браузеру.
  
• Конфиденциальность является сложной темой для обсуждения. Если безопасность сводится к " возможности контролировать, какой код может выполняться на данном компьютере, а какой - нет", конфиденциальность - это "возможность контролировать, какую информацию о пользователе браузер может передавать веб-сайтам, а какую - нет". В этот момент многим в голову приходит мысль о "cookies", хотя это неудивительно, принимая во внимание тот факт, сколько внимания было уделено безопасности с точки зрения реализации cookies. Cookies и их защита одним из аспектов проблемы сетевой безопасности. В IE6 был применен инновационный подход к P3P-стандартам (из W3C), поэтому и IE6 и IE7 используют схожий подход для блокировки cookies с веб-сайтов, чья политика не отвечает настройкам пользователя. В IE7 удаление cookies, равно как и иной информации о том, где был и что посещал пользователь, реализовано куда как проще. Тем не менее, стоит понимать, что cookies - всего лишь одна из реализаций контента, который может раскрывать вашу частную информацию веб-сайтам. В IE7 в качестве еще одного метода обеспечения конфиденциальности выступает фишинг-фильтр. Здесь очень важно четко доносить до пользователей, с какими веб-сайтами пользователи делятся информацией, а также предоставить им полный контроль над этой информацией.
  
• Надежность достаточно легко описать: браузер должен стабильно работать и отображать веб-сайты без ошибок и сбоев. Рядовых пользователей никогда не волнует причина нестабильности системы - некорректно созданные страницы или сторонние расширения к браузеру (различного рода панели и плагины) - им нужно, чтобы браузер просто работал. Если же по какой-то причине браузер завершил работу с ошибкой, важным является показатель времени восстановления после данной ошибки. Еще одним аспектом надежности является корректная визуализация сайтов.
  
• Бизнес-практики направляют решения, принимаемые при разработке и распространении продуктов компании. Ключевым принципом здесь является уважение выбора пользователей. Например, когда пользователь устанавливает новую версию IE, IE принимает выбор пользователя в отношении поискового механизма, используемого по умолчанию. В IE пользователь имеет возможность добавления различных провайдеров поисковых механизмов через OpenSearch, открытый стандарт, который поддерживается и другими браузерами. IE уважает выбор пользователя в отношении других настроек (функция "Default Programs" в Windows Vista и Set Program Access Defaults в Windows XP’). Недвусмысленный вопрос пользователю о его предпочтениях перед установкой новой версии IE- вот, что называется уважением интересов пользователя.

Если короче, то, по пониманию Microsoft, безопасный просмотр веб-контента - это предоставление пользователям контроля над выполняемыми действиями и уважение их выбора. В частности, обеспечение контроля над их компьютерами, их браузерами, настройками, удобством работы, документами. Каждый элемент концепции безопасной работы является вызовом всей индустрии .К примеру, безопасность является вызовом всей компьютерной индустрии, поскольку любой браузер подвержен веб-атакам.


Источник: http://blogs.msdn.com/ie
Перевод: deeper2k