Internet Explorer 8 turvauuendused

Aasta alguses tuli välja uus Internet Explorer versiooninumbriga 8. Uut versiooni välja andes märkis Microsoft siiski juurde, et töö Internet Explorer 8 kallal ei ole veel lõppenud. Nüüd on lõppenud arendustööd Windows 7 kallal ning sellega on valmis saanud ka Internet Explorer 8 vastav versioon. Seega on õige aeg uurida, mida uut on tehtud Internet Exploreri turvalisuse osas.

Internet Exploreri varasem on juba varem oma turvalahenduste poolest esirinnas. Internet Exploreri unikaalsete turvalahenduste hulka kuuluvad näiteks administratiivselt rakendatavad seadistused (rühmapoliitikad) ja turvatsoonid. Ka sisunõustaja (Content Advisor) oli pikka aega olemas vaid Internet Exploreril. Paljud Internet Exploreri turvalahendused on levinud ka teistes veebibrauserites. Tänapäeval näib loomulik, et brauser võimaldab piirata javascriptga teha lubatavaid tegevusi, kolmandate osapoolte küpsiste talletamist, kontrollib veebilehte teada olevate petuskeemide vastu (phinshing filter), hoiatab mitteusaldatud turvasertifikaatidega lehekülgede eest ja teeb palju muud kasutaja kaitsemiseks võimaliku ründe eest. Nende ja teiste Internet Exploreri varasemate turvaseadistuste kohta saab lähemalt lugeda siit ja siit. Kuna neist on juba paljuräägitud, keskendume sellele, mida uut on Internet Explorer 8-s.

DEP

Kui Internet Explorer 7 (32bit) puhul oli DEP vaikimisi välja lülitatud, siis Internet Explorer 8 puhul on otsustatud vaikeseadistust muuta ning DEP on vaikimisi sisse lülitatud. DEP olulisuse kohta saate lugeda Windows platvormil rünnete ennetamise teemalisest artiklist arvutikaitse.ee-s ning lähemalt võib lugeda DEP-i kohta IE8-s IEblog kandest.

Kasutaja taseme ActiveX

Internet Exploreri varasemad versioonid nõudsid ActiveX juhtelementide paigaldamist administraatorina. Internet Explorer 8 toetab nüüd ka võimalust ActiveX juhtelemente paigaldada tavakasutajana. Juhul kui ActiveX juhtelement on märgitud kui sobilik tavakasutaja õigustes töötama, pakutakse esmakordsel ActiveX elemendi kohtamisel inforibal klõpsates valikud juhtelemendi paigaldamiseks hetkel aktiivsele kasutaja või kõigi arvuti kasutajate jaoks. Sel viisil vähendatakse ActiveX juhtelementide tööõigusi ning võimaldatakse ka tavakasutajal ActiveX elemente paigaldata (kui see pole just rühmapoliitikaga ära keelatud).

ActiveX lubamine kindlatel lehekülgedel

Lisaks võimalusele paigaldada ActiveX element tavakasutaja õigustes vaid ühele kasutajale, on ActiveX elemente kasutavate rünnakute tõkestamiseks ja ennetamiseks võimalik ActiveX juhtelemente lubada käivitada vaid valitud lehekülgedel. Sel viisil on võimalik lubada vajalike juhtelementide kasutamine näiteks ettevõtte sisevõrgus (või teile vajalikel lehtedel), takistades samal ajal juhtelemendi käivitumist pahatahtlikel veebilehtedel (sh. lehtedel, kus see element ei ole vajalik). Lähemalt võib ActiveX turvauuenduste kohta lugeda siit.ActiveX lubamine ainult valitud lehel või kõigil lehtedel.

SmartScreen filter

Internet Explorer 7 sisaldas uuendusena petuskeemide filtrit (Phinshing Filter), mis on IE8-ga saanud mitmete täienduste osaliseks ning isegi nime vahetanud “SmartScreen Filter” vastu. Nime vahetamine on igati õigustatud, sest “SmartScreen Filter” tegeleb rohkemaga kui vaid petuskeemidega. Nimelt on juurde lisatud kontroll ka pahavara vastu. Täienenud on ka kasutatavad algoritmid, mis teeb filtri kiiremaks ja aitab paremini ennetada ka seni tundmatute petulehekülgede ohvriks langemist. Lähem info on IEBlogis.

InPrivate sirvimine

InPrivate sirvimine (InPrivate Browsing) on üks väga ebaõnnestunud nimega turvalahendus. Tegemist on paljudes veebibrauserites leiduva lahendusega. Tegemist on lahendusega, mis eemaldab arvutist jäljed lehekülgedest, mida külastad kui lahendus on sisse lülitatud. see tähendab, et külastatavad leheküljed ei kajastu sirvimise ajaloos, sisestatud vormiväljade väärtusi (sh. paroolid ja kasutajanimed) ei jäta brauser meelde ning lehe vaatamisel tekkinud või alla laetud ajutised Interneti failid (sh. küpsised) kustutatakse pärast lehelt lahkumist. St. neil, kes saavad ligi sinu arvutile, on keeruline (aga mitte võimatu) välja uurida, milliseid lehti sa külastasid kui InPrivate sirvimine oli sisse lülitatud. Oluline on aru saada, et see ei tähenda, et leheküljed, mida külastasid või mis jälitavad sinu tegevust veebis, ei saa teada, kus käisid ja mida tegid. Seega on InPrivate sirvimist mõistlik kasutada avalikes arvutites, kus mitu kasutajat kasutavad sama kasutajakontot. Kui kasutate brauserit isiklikus arvutis (personaalses arvutis) ja sinu kasutajakonto all kasutad arvutit ainult sina, ei ole selle lahenduse kasutamine üldjuhul vajalik. Mõne teise brauseri (nt. Google Chrome) puhul on InPrivate sirvimine vajalik ka juhul kui sinu kasutajakonto on privaatne, sest see keelab lehe indekseerimise brauseri ajaloost otsimiseks. Näiteks, kui sattusite näiteks Google Chromega oma pangakonto seisu uurima ilma, et Inprivate sirvimine oleks sisse lülitatud, võite brauseri ajaloost otsides leida oma kontoseisu ka siis kui pole panga leheküljele sisse logitud. Kuna IE ei indekseeri külastatud lehekülgi, ei ole InPrivate sirvimise sisse lülitamine panga leheküljel käimise puhul vajalik. See võib siiski tulevikus muutuda.

InPrivate filtreerimineInPrivate Filtreerimise sisse lülitamine.

Kui InPrivate sirvimist isiklikus arvutis tõenäoliselt kasutada pole vaja, siis InPrivate filter on kindlasti üks nendest võimalustest, mida te soovite tõenäoliselt sisse lülitada. Tegemist on filtriga, mis keelab veebilehtedel teie tegevuse (sirvimisharjumuse) jälgimist. InPrivate filtreerimise saate sisse lülitada menüüst turve valides “InPrivate-filtreerimine”. Esmakordsel sisse lülitamisel küsitakse, kas blokeerida jälgimine automaatselt või valida, milliseid jälgijaid (sisupakkujaid) lubada ja milliseid keelata. Lihtne lahendus on valida automaatne blokeerimine. Valikuline blokeerimine on kasulik juhul kui soovite mõnda sisupakkujat spetsiaalselt lubada või pähjustab mõne jälgiva lehekülje blokeerimine probleeme teid huvitava veebilehe kasutamist. InPrivate filtreerimise sätteid saate muuta hiljem valides Turve menüüst “InPrivate-filtreerimise sätted”. InPrivate-filtreerimise üks kõrvalmõjusid võib olla teie külastuste mitte ilmumine veebilehe külastajate/külastuste loendurisse (counter). InPrivate filtreerimine lülitatakse brauseri sulgemisel automaatselt välja ning tuleb seega igal seansil uuesti käsitsi sisse lülitada. Kogenumad arvutikasutajad saavad sellest piirangust üle tehes muudatuse Windowsi registris.

InPrivate filtreerimise sätted

Eraldatud vahelehed

IE7 oli üks esimesi veebilehitsejaid, mis hakkas sirvimisseansse eraldama eraldiseisvatesse protsessidesse. IE7 tegi seda seansi ja tsooni põhiselt, luues uues tsoonis avatava veebilehe jaoks eraldi akna. Tegemist oli kiire lahendusega teel veebilehtede protsesside vahel eraldamiseks (täielikku eraldamist ei jõutud väljalaske tähtajaks valmis). IE8-ga jätkati eraldamist ning vahelehed viidi eraldi protsessidesse. Veebilehtede protsesside vahel eraldamine suurendab veebilehitseja käideldavust võimaldades ühe veebilehe hangumisel või muu häire ilmnemisel jätkata sirvimist teistel lehtedel (suletakse ainult rikkega veebileht). Juhul kui kõik veebilehed on avatud ühes protsessis, põhjustaks häire ühel lehel kõikide avatud lehtede sulgemise.

Sirvimisseansi taastamine

Teine käideldavust parandav turvalahendus on taastumine akna korratust sulgemisest (nt. IE hangumise või Windowsi taaskäivitamise tõttu). IE8 jätab meelde, millistel lehtedel kasutaja oli ning avab need uuesti brauserit käivitades. Võrreldes IE7pro-ga, on IE8 taastumine oluliselt paremini lahendatud – IE8 jätab meelde ka selle, et lehed olid avatud erinevates akendes.

Teised uuendused

IE8 sisaldab veel paljusid teisi uuendusi, millest räägitumad on:

  • Domeeni nime rõhutamine aadressiribal Domeeni nime rõhutamine
  • Lehtede vahelise skriptimise (XSS) filter
  • Klõpsude varastamise vältimine (Click-jacking prevention)
  • Kasutajaliidese muudatused (nt. menüü “Turve”)
  • javascripti põhiste domeeninime manipuleerimise rünnete vältimine
  • javascript täiendused programmeerijatele (nt. (X)HTML tekstist skriptide programse eemaldamise funktsioonid)
  • Muudatused vaikeseadistustes (nt. Internet tsoonis ei saadeta faili üles laadides enam vaikimisi faili sisaldava kohaliku kausta nime serverisse)
  • Täiendused rühmapoliitikates (uued seadistused)

Rohkem infot IE8 turvalisuse kohta võite leida IEblogist ja IE8 ametlikult kodulehelt.

Internet Explorer 8 on lisanud mitmeid uusi turvalahendusi, mis kindlasti jõuavad kunagi ka teistesse veebilehitsejatesse. Kuigi kodukasutajate seas on levima hakanud alternatiivsed veebilehitsejad, on Internet Exploreri positsioon organisatsioonides jätkuvalt tugev. Seda positsiooni aitavad hoida nii Internet Explorerile ainulaadsed administratiivsed rühmapoliitikad kui ka silmapaistvad tulemused turvalisuse osas.

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga