“云无界、端无边” OGeek 技术峰会 9月17日 南京不见不散! 了解详情
写点什么

微软 Edge 浏览器安全特性初探

  • 2015 年 5 月 27 日
  • 本文字数:1657 字

    阅读完需:约 5 分钟

国家互联网应急中心(CNCERT)统计,仅2015 年3 月,国内监测发现的感染移动互联网恶意程序的用户数量就为647 万余个、被木马或僵尸程序控制的IP 地址为92 万余个、针对境内网站的仿冒页面数量近2 万个。其中,针对浏览器的恶意攻击与入侵占据了很大比重。鉴于此,微软公司在Windows 10 系统集成的Edge 浏览器中特别加强了安全方面的防护工作。

网络攻击可分被动式的钓鱼攻击和主动式的黑客攻击。据微软公司Edge 研发团队透露,Edge 浏览器针对这两种攻击方式中的多种攻击行为设置了专门的防御机制。其针对被动式的钓鱼攻击所做的加强主要包含以下几个方面。

首先,Edge 浏览器直接利用很多Windows 10 系统的新特性来应对钓鱼攻击。例如,针对很多网站要求用户明文输入用户名和密码的情况。Windows 10 提供了使用非对称加密算法的微软Passport 服务来避免明文登陆。此外,针对很多网站本身就是钓鱼网站或者隐藏有恶意软件下载链接的情况, Microsoft SmartScreen 可以对用户所访问站点的信誉进行检查,对可能的钓鱼网站发出提醒。此外,SmartScreen 还可以对下载的的恶意软件进行检查。最后,针对恶意攻击导致证书颁发机构颁发欺诈性或未经授权数字证书的情况,微软去年已经宣布了 Root Certificate 项目。最近,微软又进一步扩展了该系统,允许网页开发人员通过 Bing Webmaster 工具来向微软汇报伪造证书的案例。这就使得用户之间可以相互帮助,有效避免恶意网站的攻击。

其次,Edge 浏览器本身也在应对钓鱼式攻击上进行了改进。微软 Edge 团队主持研发了一个新的渲染引擎—— Microsoft EdgeHTML 。使用该引擎,开发人员可以轻松建立一个适用于所有当前流行的浏览器的网站。通过该引擎,Edge 团队试图令开发人员可以在可靠性和安全性方面做更多的工作。

在针对主动式黑客攻击方面,Edge 浏览器还对浏览器内存中的 DOM 表示进行了修改,使得浏览器代码能够更好的防御黑客攻击。具体而言,Edge 浏览器所做的加强可以分为以下几个方面。

首先,针对 ActiveX 插件引入的安全问题,微软 Edge 团体提在新的浏览器中放弃了原有的 ActiveX 等技术,改为使用基于 HTML5 和 JavaScript 的扩展模式。HTML5 可以有效减少网站对于 VML、VB Script、Toolbars、BHO 以及 ActiveX 的需求。这样,兼容 HTML5 的微软 Edge 浏览器既能保证良好的用户体验,又能很好的提高安全性。

其次,Edge 浏览器在安全方面的一个巨大改变就是 Edge 浏览器本身就是一个 Universal Windows 应用程序,使其对外部管理器及内容的处理都限制在沙盒内。微软早在 Vista 系统上的 IE 7 中就开始使用沙盒机制,在 windows 8 上,微软引入了加强型保护模式( EPM )。EPM 能够提供比保护模式更强的沙盒功能,而且在系统自带的浏览器中是默认打开的。据报道,很多与保护模式不兼容的插件会主动关闭浏览器的保护模式。微软Edge 浏览器进行了修改,使得EPM 处于一直打开状态,从而保证了客户端的安全。

在另外一方面,内存溢出是黑客攻击常用的手段。微软从上世纪90 年代开始已经提出了各种避免内存崩溃的方法。在Visual Studio 2015 中,微软就推了一个新特征——控制流警卫( CFG )。该选项可以让 C++ 编译器在二进制文件中注入额外的安全检查代码,用来保证间接跳转只会指向函数的进入点。通过 CFG,系统限制了程序在崩溃时的跳转点,使得攻击者的攻击难度加大。目前,CFG 等技术都已经应用到了 Edge 浏览器中。

最后,微软 Edge 浏览器可以在 64 位模式下运行。一般情况下,64 位的进程,尤其是浏览器进程可以通过微软地址空间随机分配技术( ASLR )来加强安全性。微软在 Windows 10 的预览版中还集成了 Bug 汇报奖励程序,鼓励安全研究人员报告浏览器的安全漏洞。

目前,Edge 浏览器仍然处在调试阶段。今年夏天,它将随 Windows 10 操作系统正式发布。


感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群InfoQ 好读者)。

2015 年 5 月 27 日 05:222117
用户头像

发布了 268 篇内容, 共 109.5 次阅读, 收获喜欢 23 次。

关注

评论

发布
暂无评论
发现更多内容

电商系统微服务系统设计

Imaginary

1024程序员:算法&仓鼠&创业

博文视点Broadview

华为在HDC2021发布全新HMS Core 6 宣布跨OS能力开放

叶落便知秋

2021年秋季明道云伙伴大会,邀您参与!

明道云

Python代码阅读(第44篇):寻找符合条件的元素的位置

Felix

Python 编程 Code Programing 阅读代码

电商系统微服务拆分

Sky

「架构实战营」

(module6)电商微服务系统拆分

消失的子弹

vivo AI 计算平台的 ACK 混合云实践

阿里巴巴云原生

阿里云 云原生 ACK Vivo

收藏这36个正则表达式,开发效率提高80%

Tom弹架构

Java 正则表达式

模块一:为何架构设计能力难以提升? --学习总结

小鹿

拆分电商系统为微服务

Yina🌝很浪🌊

谐云边缘计算大规模落地实践,带你见证边缘的力量!

谐云

云计算 边缘计算

第 23 章 -《Linux 一学就会》- expect - 正则表达式-sed-cut的使用

学神来啦

Linux Shell linux运维 linux云计算 linux一学就会

华为首次采用数字人全程实时手语直播,并宣布全面开放手语服务能力

叶落便知秋

Vue进阶(幺伍零):巧用 key 提升页面渲染性能及触发生命周期函数

No Silver Bullet

Vue 10月日更 渲染性能

推荐7款超实用的推特推特下载器,包括电脑和手机上使用(小伙伴们快快收藏起来)

So...

twitter 推特视频下载 推特

架构实战营模块六作业 - 拆分电商系统为微服务

李焕之

go-zero 实战之 blog 系统

万俊峰Kevin

golang 微服务 go-zero

云图说 | 分布式缓存服务DCS—站在开源Redis前辈的肩膀上,扬帆起航

华为云开发者联盟

redis 缓存 分布式 华为云 DCS

双十一即将到来,你的网站真的准备好了吗?

阿里巴巴云原生

阿里云 产品 云原生 云拨测

电商系统微服务拆分

Geek_db27b5

基于 RocketMQ 的基金数字化陪伴体系的架构实践

阿里巴巴云原生

阿里云 RocketMQ 云原生 消息队列 金融场景

架构设计六 如何设计业务的微服务架构

nydia

微服务 架构设计

顶会VLDB'22论文解读:多元时序预测算法METRO

华为云开发者联盟

数据库 华为云 多元时序预测算法 VLDB'22 华为云数据库创新Lab

爱奇艺联合WSDM发起用户留存预测挑战赛

爱奇艺技术产品团队

netty系列之:netty对http2消息的封装

程序那些事

Java Netty 程序那些事 http2

模块一作业

小鹿

极客时间架构实战营作业六

jjn0703

架构实战营

架构实战训练营模块 6 作业

Sonichen

0 基础架构入门 - 6(电商系统微服务架构)

felix

架构实战营 0 基础架构入门

【KubeMeet 上海站回顾】 探索云原生应用管理与交付新解法

阿里巴巴云原生

阿里云 开源 云原生 KubeMeet

首届腾讯云大数据峰会暨Techo TVP开发者峰会

首届腾讯云大数据峰会暨Techo TVP开发者峰会

微软Edge浏览器安全特性初探_安全_张天雷_InfoQ精选文章