Íme a Microsoft új böngészőjének védelmi arzenálja

A Microsoft leleplezte azokat a legfontosabb biztonsági technológiáit, amelyek a Windows 10-ben helyet kapó Edge webböngészőt hivatottak megvédeni. Mutatjuk, hogy milyen újdonságok várhatók ezen a fronton.
 

Napjainkban a webböngészők biztonsága az egyik legfontosabb szempont az alkalmazásbiztonság tekintetében. Ezek a szoftverek ugyanis központi szerepet kapnak a mindennapi informatikai tevékenységek során, legyen szó üzleti vagy magán célú felhasználásról. Ráadásul a mind népszerűbbé váló online szolgáltatások - amelyek gyakorta bizalmas adatokat is kezelnek - fontos támadási felületet jelentenek a kiberbűnözők számára. Ezért, ha már a böngészők szintjén sikerül meggátolni károkozásokat, akkor azáltal jelentősen csökkenthetővé válhatnak a kockázatok. Pontosan tisztában van ezzel a Microsoft is, amelynek Internet Explorer böngészőjét az elmúlt években bizony érte kritika biztonsági szempontból. A renomén az Edge névre keresztelt, vadonatúj böngésző javíthat.
 
Nehezebb dolguk lesz a csalóknak
 
Az Edge biztonsági újdonságainak egyik legfontosabb célja, hogy megnehezítsék azon támadásokat, amelyek a felhasználók megtévesztésére építkeznek. Így az alkalmazás például az adathalászat vagy a kártékony weboldalakon keresztül folytatott vírusterjesztés elé is komoly akadályokat kíván görgetni. A Microsoft szerint jelenleg nem igazán hatékony a HTTPS (EV) oldalak esetében megjelenített lakat ikon, illetve a zöld címsor, amely azt hivatott jelezni, hogy a felhasználó egy hiteles, eredeti oldalon jár, és nem egy hamis weblapon. A vállalat szerint tovább kell lépni, és a titkosítás nélkül kezelt jelszavakat mellőzni kell. Az Edge ezért teljes mértékben együtt fog működni a Windows 10-ben helyet kapó Microsoft Passport technológiával, amely nemcsak egyszerűbbé, hanem biztonságosabbá is teszi majd a jelszavak használatát.
 
Életben marad az Internet Explorer 8-as verziójában bemutatkozó SmartScreen szűrő is, amely egyrészt a kártékony weboldalakra való figyelmeztetésekért felelős, másrészt a letöltött fájlok biztonsági ellenőrzését végzi, elsősorban hírnévalapú (reputációs) eljárásokkal. Annyi fejlemény lesz e téren, hogy a Microsoft az oldalak hamisításával elkövetett csalások visszaszorítását azzal is megpróbálja elősegíteni, hogy a kompromittálódott tanúsítványok bejelentéséhez egy új lehetőséget fog kínálni a Bing Webmaster Tools keretein belül.


Forrás: Microsoft
 
A motor sem a régi

Az Edge böngésző már nem a Trident motorjára fog épülni, hanem az újragondolt, EdgeHTML renderelő összetevőre. Ez minden olyan fontosabb biztonsági eljárást, megfontolást támogat, amelyek a W3C és az IETF szabványokban megjelennek, így a fejlesztőknek is több lehetőségük lesz védelmi megoldások implementálására. Ami pedig ennél is fontosabb, hogy kikerülnek a böngészőből a következő, meglehetősen sok kockázatot és problémát felvető komponensek: ActiveX, BHO (Browser Helper Objects), VML (Vector Markup Language), DirectX-szűrők stb.
 
További fontos biztonsági technika, hogy az Edge minden egyes weboldalt egy alkalmazáskonténerben fog kezelni, és ilyen módon a sandbox védelmet csúcsra járatja. Ezáltal egy kártékony weboldalnak kevesebb sansza lesz arra, hogy a rendszer különféle erőforrásaihoz jogosulatlanul hozzáférjen. Ez az elgondolás korántsem új keletű, hiszen az Internet Explorer 7-ben a Protected Mode, valamint az Internet Explorer 10-es és 11-es verzióban bevezetett Enhanced Protected Mode is hasonló célokat szolgál. Az előbbi azonban nagyon korlátozott funkcionalitású volt, míg az utóbbi nem alapértelmezett a desktop környezetekben.
 
Irány a 64 bit

A Microsoft jelezte, hogy a Windows 10 esetében - megfelelő támogatottság esetén - alapértelmezetten az Edge 64 bites verziója fog elindulni. Ennek egyik oka, hogy az ASLR (Address Space Layout Randomization) technológia ez esetben hatékonyabban tud működni. "A támadók el akarják érni, hogy a kártékony kódjaikat sebezhetőségeken keresztül bejuttassák a böngészők folyamataiba, majd lefuttassák azokat. Az ASLR nehezebbé teszi mindezt a folyamatok memóriatérképének véletlenszerűvé tételével. A 64 bites folyamatok esetében az ASLR jóval hatékonyabb, mivel a címtér jelentősen nagyobb, így a támadók nehezebben tudják megtalálni a számukra fontos memóriaterületeket" - nyilatkozta Crispin Cowan, a Microsoft Edge programmenedzsere. Természetesen az eddig meglévő védelmi mechanizmusok, mint például a DEP (Data Execution Prevention), a MemGC (Memory Garbage Collector) és a CFG (Control Flow Guard) is csatasorban marad.
 
Végül meg kell jegyezni, hogy azt a Microsoft sem állította, hogy egy hibátlan böngészővel fog piacra lépni. Oly annyira nem, hogy nemrégen egy jutalmazási programot is indított, amelynek keretében 2015. június 22-ig akár 15 ezer dollárral jutalmazza azokat a biztonsági kutatókat, akik első kézből jeleznek sérülékenységeket az új webböngészőben.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség