新的IE β版本表明,微软正在试图彻底解决IE安全问题。
本周四,微软发布了第三个IE β版本,这也将是最后一个IE β版本。IE 7是微软5 年来对IE的第一次重大升级,它的重点是提高安全性。在接受采访时,微软负责浏览器的项目经理托尼说,按开发资源计算,安全是我们在IE 7中的第一大投资。
由于存在许多安全缺陷,批评人士将IE 6称作是“瑞士奶酪”。这些缺陷能够被黑客用来在用户的PC上安装恶意代码,并控制用户的PC.自2001年发布IE 6后,微软没有对它进行过重大升级,甚至将IE开发人员抽调到其它部门。
随着用户不断受到攻击和浏览器市场上的竞争日益激烈,微软重新启动了IE开发进程,并在去年的一次重要安全会议上公布了IE 7.
托尼表示,多年来,我们没有在开发IE浏览器上花费大量时间。用户面临的安全攻击和威胁的增加,提高了重新对IE投资的必要性━━主要是在安全方面。
与β2 相比,β3 有一些变化。据微软称,新版IE 7还提供了更高的可靠性、兼容性、更多的安全补丁软件━━微软已经修正了1000个安全缺陷。
在测试过程中修正缺陷是微软用来提高浏览器软件安全性的一种方式。微软提高浏览器安全性的二种主要方法是加强IE的内核和帮助用户保证上网安全的功能。
在内核方面,IE 7与IE 6变化不大。托尼说,出于安全的原因,微软也重新编写了部分代码。例如,在早期版本的IE中,有14个例程用来处理Web 地址,这会引发安全缺陷。
在IE 7中,处理Web 地址的例程只有1 个,我们在安全方面获得了满意的结果。我们还重新编写了其它部分的代码,或删除了部分代码。通过这些措施,我们降低了IE受到攻击的可能性。
尽管采取了种种措施,最近披露的影响IE 6的安全缺陷也影响到了IE 7,这使得一些人对于IE 7的安全水平产生了怀疑。
安全研究人员汤姆说,微软在IE 7中部署了一些安全功能,但其内核中的安全缺陷与IE 6一样多。
托尼表示,微软在开发产品时会考虑到各种攻击的可能性,并解决这些问题。他也指出,在许多情况下,微软总是落在问题的后面,在下一个版本中修正安全缺陷。
他说,当然,我们也想销售没有任何缺陷的产品,但这几乎上是不可能的,认为任何产品100%地安全是不切实际的。
微软部署了过滤技术,打击钓鱼式攻击。微软家庭安全部门的产品经理艾伦说,钓鱼式攻击是一个日益严重的问题,目前这一问题还没有达到完全解决。我们的综合性解决方案将能够解决大多数问题,但是,我们的敌人不会坐以待毙,预计它们会很快反扑过来。
艾伦表示,微软的钓鱼拦截技术采用3 种方法阻止用户访问虚假网站。它会对网页进行分析,检查钓鱼式网站的特征;它能够将地址与所谓的“黑名单”进行比较;其中包含一个可信任网站清单。在谷歌的帮助下,Firefox 也部署了反钓鱼式攻击技术。
IE 7还是安全性能更高的Windows Vista 操作系统的一部分。在Vista 上,IE 7以较低的访问权限在一个虚拟环境中运行,这意味着任何运行的恶意代码感染不了基础的操作系统代码。
尽管安全是IE 7的主要卖点,它还进行了其它方面的改进,例如标签式浏览、RSS 支持、搜索框、改进的打印能力。IE 7β3 与β2 之间功能上的变化包括向用户提供在工具条上增添电子邮件按钮、录音标签、水平滚动条的能力。用户还可以一次性地更新所有RSS.IE 7β3 只能在Windows XP SP2上运行。
提高IE 7安全性能是微软安全计划的一部分。但是,也有人对微软这一计划的有效性提出了批评。IT-Harvest的首席分析师理查德说,微软持续提高产品安全性“有百利而无一害”,但任何升级软件都不能解决没有对软件进行升级的用户的安全问题。为使用最新软件的用户解决安全问题,并不能彻底地解决安全问题。