Internet Explorer 8: Безопасность на первом рубеже Михаил Черномордиков Architect Evangelist, Microsoft [email protected] http://blogs.msdn.com/mikcher http://twitter.com/mixen Что внутри IE8 Социальная • Соц инженерия и приватность Борьба с уязвимостями Веб-сервер и приложения IE 8 Расширенная валидация (EV) сертификатов SSL SmartScreen® Filter – антифишинг и вредоносное ПО Подсветка домена Расширенное удаление истории просмотра InPrivate™ Browsing, InPrivate™ Filtering Разработка в рамках Security Development Lifecycle (SDL) Защищенный режим Элементы управления ActiveX DEP - Data Execution Prevention Http only cookies Групповые политики XDomainRequest – кросс-доменные запросы XDM – кросс-доменные сообщения XSS Filter - Cross Site Scripting Anti-ClickJacking Что это дает • Самый защищенный браузер NSS Labs, Q1 2010, http://nsslabs.com/browser-security #1 по блокировке malware (+15% за год) Подсветка домена Повышенное внимание пользователя к действительному домену страницы Выделение черным цветом Архитектура iexplorer.exe Protected-mode Broker Object UI Frame Favorites Bar Command Bar iexplorer.exe (tab process 1) … Tab 1 Tab n iexplorer.exe (tab process n) … Tab 1 Tab n Toolbar Extension Toolbar Extension ActiveX Controls ActiveX Controls Browser Helper Objects Browser Helper Objects SmartScreen Filter • Интегрированная защита от фишинга и вредоносного ПО • Проверка URL-строк, анализ возможны угроз • Блокирует более миллиона запросов в неделю к фишинговым сайтам • Поддержка групповых политик • Круглосуточные процессы и поддержка • Каждый день – блокирование 2+ млн атак XSS Filter • Защита от Cross-Site Scripting – наиболее распространенный тип атак • Эвристические алгоритмы • Автоматическая блокировка Internet Explorer 9 • • • • • Новый движок JavaScript «Chakra» Поддержка стандартов: HTML5, CSS3, DOM, SVG… Аппаратное ускорение IE9 Platform Preview ритм Далее: Hardware accelerated HTML5 Video… ietestdrive.com Internet Explorer 8: Безопасность на первом рубеже Михаил Черномордиков Architect Evangelist, Microsoft [email protected] http://blogs.msdn.com/mikcher http://twitter.com/mixen