c.m.g
03-07-2008, 15:06
3 luglio 2008 alle 13.42 di netquik
http://www.tweakness.net/imgarchive/IE8_Beta.jpg
Microsoft ha annunciato nuove importanti funzionalità di sicurezza che saranno integrate in Internet Explorer 8, la nuova versione del browser attualmente in Beta 1 pubblica. Nello specifico, sul blog ufficiale del team che lavora su Internet Explorer, sono state descritte nel dettaglio una nuova funzione di filtro XSS (http://blogs.msdn.com/ie/archive/2008/07/01/ie8-security-part-iv-the-xss-filter.aspx), che contrasterà i tentativi di exploit delle vulnerabilità reflected / "Type-1" Cross-Site Scripting (XSS), e la funzione "SmartScreen Filter (http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-iii-smartscreen-filter.aspx)", potenziamento del Phishing Filter di IE7, che introdurrà nuove capacità come supporto Anti-Malware e migliorato supporto per i Criteri di Gruppo. Queste nuove funzioni saranno offerte in preview in IE8 Beta 2, atteso in disponibilità ad Agosto.
In un terzo nuovo intervento su IE Blog (IE8 Security Part V: Comprehensive Protection (http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-v-comprehensive-protection.aspx)) Microsoft offre un sommario di tutte le nuove funzionalità di sicurezza che saranno implementate nel nuovo IE8, alcune già discusse nel dettaglio (come IE8 Data Execution Prevention (http://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx), potenziamenti di protezione ActiveX-related (http://www.tweakness.net/news/4516) e potenziamento della barra degli indirizzi (http://www.tweakness.net/news/4408)) ed altre nuove (come HTML Sanitization e JSON Sanitization per mashup più sicuri e modifiche in robustezza per il MIME-Handling).
Da IE Blog (http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-v-comprehensive-protection.aspx): "Mentre pianificavamo Internet Explorer 8, i nostri team di sicurezza hanno analizzato da vicino gli attacchi più comuni in the wild e le tendenze che suggeriscono su cosa gli attacker focalizzeranno in futuro la loro attenzione. Nel realizzare le nuove funzioni di sicurezza, abbiamo anche lavorato duramente per assicurarci che le nuove potenti funzioni (come Activities e Web Slices) riducano al minimo la superficie di attacco e non offrano agli attacker nuovi bersagli. Nella nostro lavoro di pianificazione, abbiamo classificato le minacce in tre categorie principali: vulnerabilità delle applicazioni Web, del browser e delle estensioni, e Social Engineering".
Filtro XSS. Questa nuova funzionalità di IE8 si occupa di contrastare lo sfruttamento delle vulnerabilità di Cross-Site Scripting (XSS) "Type-1 (http://en.wikipedia.org/wiki/Cross-site_scripting#Non-Persistent)" (attacchi di "reflection"), impedendo attacchi mirati (http://xssed.com/) al furto di cookie, al monitoring della pressione dei tasti, e ad altre simili azioni di furto e sfruttamento dell'identità delle vittime. XSS Filter (http://blogs.msdn.com/ie/archive/2008/07/01/ie8-security-part-iv-the-xss-filter.aspx) opera come una componente di IE8 su tutte le richieste e risposte che viaggiano attraverso il browser, tentando di neutralizzare automaticamente gli attacchi XSS identificati. In IE8 Beta 2, agli utenti sarà mostrata una notifica sul tentativo di attacco (http://ieblog.members.winisp.net/images/XSS.Notification.png) Type-1 XSS identificato. Il filtro è stato ottimizzato per la gestione dei molti scenari di attacco, e sviluppato con attenzione per la compatibilità (è attivo di default). Maggiori informazioni sulla nuova funzione saranno rese disponibili durante la fase di sviluppo del nuovo browser, su IE Blog, SWI Team Blog (http://blogs.technet.com/swi/) e sul blog personale di David Ross (http://blogs.msdn.com/dross/), Security Software Engineer dello SWI team.
SmartScreen Filter. Questa nuova funzione sostituisce e potenzia il Phishing Filter di IE7, migliorandone l'interfaccia utente e le performance, introducendo nuove capacità di telemetria euristica avanzata, supporto Anti-Malware e migliorato supporto per i Criteri di Gruppo (Group Policy). Queste novità sono state descritte nel dettaglio su IE Blog (http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-iii-smartscreen-filter.aspx). La funzione più interessante è sicuramente il supporto per la protezione Anti-Malware ( che si aggiunge alle capacità anti-phishing) del filtro. SmartScreen è URL-reputation-based, cioè verifica i server che ospitano i download per determinare se si tratta di server che distribuiscono contenuti non sicuri. Nel caso SmartScreen identifichi un sito conosciuto che distribuisce malware, mostrerà all'utente la pagina SmartScreen blocking (http://ieblog.members.winisp.net/images/KnownBadWebsite.png) con informazioni aggiuntive. SmartScreen bloccherà allo stesso anche i download nocivi che vengono avviati esternamente al browser (es. da link IM). SmartScreen Filter potrà essere testato in IE8 Beta 2.
Nell'intervento riassuntivo (http://ieblog.members.winisp.net/images/KnownBadWebsite.png) sulle funzionalità di sicurezza di IE8, Microsoft evidenzia altre modifiche volte alla protezione degli utenti, come nuovi avvisi prima del lancio di protocolli di applicazione e impostazione a sola-lettura del campo di modifica File Path del controllo di caricamento file.
Link per approfondimenti:
Sommario Sicurezza IE8 @ IE Blog (http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-v-comprehensive-protection.aspx)
XSS Filter (http://blogs.msdn.com/ie/archive/2008/07/01/ie8-security-part-iv-the-xss-filter.aspx)
SmartScreen Filter (http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-iii-smartscreen-filter.aspx)
Fonte: IE Blog (http://blogs.msdn.com/ie) via Tweakness
http://www.tweakness.net/imgarchive/IE8_Beta.jpg
Microsoft ha annunciato nuove importanti funzionalità di sicurezza che saranno integrate in Internet Explorer 8, la nuova versione del browser attualmente in Beta 1 pubblica. Nello specifico, sul blog ufficiale del team che lavora su Internet Explorer, sono state descritte nel dettaglio una nuova funzione di filtro XSS (http://blogs.msdn.com/ie/archive/2008/07/01/ie8-security-part-iv-the-xss-filter.aspx), che contrasterà i tentativi di exploit delle vulnerabilità reflected / "Type-1" Cross-Site Scripting (XSS), e la funzione "SmartScreen Filter (http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-iii-smartscreen-filter.aspx)", potenziamento del Phishing Filter di IE7, che introdurrà nuove capacità come supporto Anti-Malware e migliorato supporto per i Criteri di Gruppo. Queste nuove funzioni saranno offerte in preview in IE8 Beta 2, atteso in disponibilità ad Agosto.
In un terzo nuovo intervento su IE Blog (IE8 Security Part V: Comprehensive Protection (http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-v-comprehensive-protection.aspx)) Microsoft offre un sommario di tutte le nuove funzionalità di sicurezza che saranno implementate nel nuovo IE8, alcune già discusse nel dettaglio (come IE8 Data Execution Prevention (http://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx), potenziamenti di protezione ActiveX-related (http://www.tweakness.net/news/4516) e potenziamento della barra degli indirizzi (http://www.tweakness.net/news/4408)) ed altre nuove (come HTML Sanitization e JSON Sanitization per mashup più sicuri e modifiche in robustezza per il MIME-Handling).
Da IE Blog (http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-v-comprehensive-protection.aspx): "Mentre pianificavamo Internet Explorer 8, i nostri team di sicurezza hanno analizzato da vicino gli attacchi più comuni in the wild e le tendenze che suggeriscono su cosa gli attacker focalizzeranno in futuro la loro attenzione. Nel realizzare le nuove funzioni di sicurezza, abbiamo anche lavorato duramente per assicurarci che le nuove potenti funzioni (come Activities e Web Slices) riducano al minimo la superficie di attacco e non offrano agli attacker nuovi bersagli. Nella nostro lavoro di pianificazione, abbiamo classificato le minacce in tre categorie principali: vulnerabilità delle applicazioni Web, del browser e delle estensioni, e Social Engineering".
Filtro XSS. Questa nuova funzionalità di IE8 si occupa di contrastare lo sfruttamento delle vulnerabilità di Cross-Site Scripting (XSS) "Type-1 (http://en.wikipedia.org/wiki/Cross-site_scripting#Non-Persistent)" (attacchi di "reflection"), impedendo attacchi mirati (http://xssed.com/) al furto di cookie, al monitoring della pressione dei tasti, e ad altre simili azioni di furto e sfruttamento dell'identità delle vittime. XSS Filter (http://blogs.msdn.com/ie/archive/2008/07/01/ie8-security-part-iv-the-xss-filter.aspx) opera come una componente di IE8 su tutte le richieste e risposte che viaggiano attraverso il browser, tentando di neutralizzare automaticamente gli attacchi XSS identificati. In IE8 Beta 2, agli utenti sarà mostrata una notifica sul tentativo di attacco (http://ieblog.members.winisp.net/images/XSS.Notification.png) Type-1 XSS identificato. Il filtro è stato ottimizzato per la gestione dei molti scenari di attacco, e sviluppato con attenzione per la compatibilità (è attivo di default). Maggiori informazioni sulla nuova funzione saranno rese disponibili durante la fase di sviluppo del nuovo browser, su IE Blog, SWI Team Blog (http://blogs.technet.com/swi/) e sul blog personale di David Ross (http://blogs.msdn.com/dross/), Security Software Engineer dello SWI team.
SmartScreen Filter. Questa nuova funzione sostituisce e potenzia il Phishing Filter di IE7, migliorandone l'interfaccia utente e le performance, introducendo nuove capacità di telemetria euristica avanzata, supporto Anti-Malware e migliorato supporto per i Criteri di Gruppo (Group Policy). Queste novità sono state descritte nel dettaglio su IE Blog (http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-iii-smartscreen-filter.aspx). La funzione più interessante è sicuramente il supporto per la protezione Anti-Malware ( che si aggiunge alle capacità anti-phishing) del filtro. SmartScreen è URL-reputation-based, cioè verifica i server che ospitano i download per determinare se si tratta di server che distribuiscono contenuti non sicuri. Nel caso SmartScreen identifichi un sito conosciuto che distribuisce malware, mostrerà all'utente la pagina SmartScreen blocking (http://ieblog.members.winisp.net/images/KnownBadWebsite.png) con informazioni aggiuntive. SmartScreen bloccherà allo stesso anche i download nocivi che vengono avviati esternamente al browser (es. da link IM). SmartScreen Filter potrà essere testato in IE8 Beta 2.
Nell'intervento riassuntivo (http://ieblog.members.winisp.net/images/KnownBadWebsite.png) sulle funzionalità di sicurezza di IE8, Microsoft evidenzia altre modifiche volte alla protezione degli utenti, come nuovi avvisi prima del lancio di protocolli di applicazione e impostazione a sola-lettura del campo di modifica File Path del controllo di caricamento file.
Link per approfondimenti:
Sommario Sicurezza IE8 @ IE Blog (http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-v-comprehensive-protection.aspx)
XSS Filter (http://blogs.msdn.com/ie/archive/2008/07/01/ie8-security-part-iv-the-xss-filter.aspx)
SmartScreen Filter (http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-iii-smartscreen-filter.aspx)
Fonte: IE Blog (http://blogs.msdn.com/ie) via Tweakness