jump to navigation

Novos Recursos de Segurança do Internet Explorer 8 March 17, 2008

Posted by Samuel RIbeiro in Internet Explorer.
trackback

A Microsoft já divulgou publicamente o Beta 1 do Internet Explorer 8 (baixe ele aqui). Esta é uma versão de testes ainda bastante preliminar, e o seu principal objetivo é permitir que desenvolvedores possam já testá-lo com os seus sites e apontar problemas na visualização de páginas. Por isso muito da divulgação trata da conformidade com o teste ACID2, os test cases de CSS, e outros recursos do tipo.

Mas esta versão preliminar já permite ver alguns dos novos recursos de segurança implementados pelo IE8. A primeira diferença está logo na barra de endereços – o domain highlighting:

O IE8 deixa apenas o nome do domínio sendo acessado em iluminação normal, colocando o resto da URL em tom acinzentado. Isto permite que o usuário veja com mais clareza o domínio que ele está realmente acessando, tornando mais difícil para alguns sites maliciosos iludir o usuário a pensar que estão em outro domínio.

Outro novo recurso do IE8 é a restrição do uso de controles ActiveX para sites ou domínios específicos. Nas versões anteriores do Internet Explorer, quando um controle Active X era instalado por um site ele ficava automaticamente disponível para ser executado por qualquer outro site. Isto é ótimo por exemplo para controles genéricos como o Flash, que é instalado pelo site da Adobe e depois pode ser usado em todos os sites.

Mas em alguns casos isto não é desejável, e pode se tornar até um risco de segurança. Por exemplo, um banco pode escrever um controle ActiveX para validar o computador do usuário, mas certamente não vai querer que este controle seja usado também por um site malicioso para fazer a mesma validação. Para proteger contra este tipo de situação, a única solução era o desenvolvedor implementar no código do seu controle ActiveX uma proteção como o SiteLock.

O Internet Explorer 8 traz agora o recurso de restringir o uso de um controle ActiveX apenas para alguns sites específicos. Isto pode ser especificado pelo desenvolvedor e também controlado pelo usuário:

[Observação: este recurso ainda não está totalmente implementado na versão Beta 1]

Outro novo recurso é o Safety Filter. O Internet Explorer 7 continha o recurso Phishing Filter, que verificava o nome de domínio sendo acessado contra uma lista de sites que foram reportados como sendo phishing – isto é, sites maliciosos que tentavam se passar como sites legítimos e iludiam usuários a fornecer informação pessoal. O Safety Filter leva isso além e bloqueia agora também sites Web que tentam instalar malware (trojans, etc.) no computador do usuário.

Isto é uma mudança mais radical do que pode parecer em um primeiro momento. Enquanto construir uma lista de sites de phishing depende em grande parte de alguma pessoa reportar e outra validar que se trata de um site malicioso, monstar uma lista de sites que instalam malware é uma tarefa basicamente automatizada. Robôs de busca como os do Live Search podem varrer a Internet e em conjunto com engines de antivirus detectar e bloquear automaticamente as páginas consideradas perigosas.

Além disso, ao contrário do Phishing Filter do IE7, o Safety Filter verifica todas as URLs (não só paginas Web) e permite o bloqueio de downloads considerados nocivos. Se você lembrar que a maioria das fraudes de Internet aqui no Brasil são feitas a partir do download de um trojan, este recurso pode se tornar uma das principais armas para combatê-las. 

O Internet Explorer Beta 1 é ainda uma versão bem preliminar, e eu recomendo a sua instalação somente em um equipamento de teste ou máquina virtual. Para o uso diário é melhor esperar uma versão mais próxima do lançamento. Para fornecer feedback sobre esta versão, e em especial sobre os novos recursos de segurança, consulte o blog do time do IE ou deixe o seu relato no grupo de discussão.

UPDATE – E uma novidade especial para o VP: o IE 8 abre por default até seis conexões simultâneas, ao invés de duas como nas versões anteriores.

 

Comments»

No comments yet — be the first.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: