引:当地时间本周四(6月29日),软件制造商微软公司发布了即将于今年年底前正式发布的IE 7的第三个测试版,这也是最后一个测试版,成为五年来这一新版网络浏览器第一次重大的升级,其中最引人注目的是安全性能的提升。
当地时间本周四(6月29日),软件制造商微软公司发布了即将于今年年底前正式发布的IE 7的第三个测试版,这也是最后一个测试版,成为五年来这一新版网络浏览器第一次重大的升级,其中最引人注目的是安全性能的提升。
在接受采访的时候,微软负责浏览器开发的项目经理Tony Chor指出:“从开发资源方面衡量,我们在IE 7安全方面的投资是所有投资中力度最大的。”
由于存在许多安全缺陷,有人把IE 6形容为“瑞士奶酪(Swiss cheese)”。这些缺陷被恶意攻击者利用,继而在用户电脑上安装恶意代码,并最终“霸占”这台电脑,继续向其它电脑发送间谍软件或者对某些WEB站点发起攻击。
自2001年发布之后,微软就没有对IE 6进行过重大升级,甚至将IE浏览器的开发人员抽调到其它部门。随着用户受到攻击次数的不断增加和浏览器市场上竞争的日趋激烈,特别在火狐浏览器的极大冲击之下,微软重新启动了IE开发进程,并在去年的一次重要安全会议上公布了IE 7的发布日程。
“在过去几年中,我们并没有在IE浏览器中投入大量的时间,”Chor表示,“用户面临的安全攻击和威胁的增加,提高了重新对IE投资的必要性——主要是在安全方面。”
按照微软的介绍,与beta 2相比,新推的beta 3在某些方面发生了一些改观,比如可靠性、兼容性得到了提升,安全补丁的数量也增加不少——已经修正了超过1000个安全缺陷。
修正缺陷是微软在测试过程中提高浏览器软件安全性的途径之一。微软提高浏览器安全性主要有二种方法,分别是加固IE应用程序的内核和增加帮助用户中止在线攻击的功能。
内核方面,IE 7在很大程度上仍然立足于IE 6。Chor声称,出于安全方面的考量,微软也重新编写了部分代码。例如,在早期版本的IE中,有14个例程用来处理Web 地址,这会引发安全缺陷。在IE 7中,处理Web 地址的例程只有1 个,我们在安全方面获得了满意的结果。我们还重新编写了其它部分的代码,或删除了部分代码。通过这些措施,我们降低了IE受到攻击的可能性。
尽管做出了种种努力,新近在IE 6中发现的安全缺陷也影响到了最初发布的IE 7测试版,这使得一些人对于IE 7的安全水平产生了怀疑。
曾经于年初在IE 7预览版中发现过某个漏洞的安全研究员Tom Ferris说:“我发现微软在IE 7中部署了一些新的安全功能,但其内核中的安全缺陷与IE 6一样多。”
Chor指出,微软在开发新产品的时候会尽量考虑各种攻击发生的可能性并且想法阻断攻击,他也指出,在很多情况下,微软总是落在后面,在下一个版本中才发现并且修正这些漏洞。
“当然,我们也想销售没有任何缺陷的产品,但这几乎上是不可能的,认为任何产品100%地安全是不切实际的。”Chor补充说。微软在最新版本中已经内置了一些新的安全属性,以求接近这个目标。同时,微软也提供了过滤技术,帮助用户打击在线式的“钓鱼攻击”,这些攻击往往通过垃圾邮件信息来诱因受害者点击进入存在欺诈的WEB站点中。
“(钓鱼式攻击)是一个日益严重的问题,目前这一问题还没有达到完全解决,”微软家庭安全和售后服务部门的产品经理Alan Packer说,“我们的综合性解决方案将能够解决大多数问题,但是,我们的敌人不会坐以待毙,预计它们会很快反扑过来。”
Packer指出,微软的钓鱼拦截技术采用三种方法阻止用户访问虚假网站。它会对网页进行分析,检查钓鱼式网站的特征;它能够将地址与所谓的“黑名单”进行比较;其中包含一个可信任网站清单。在微软对手Google的帮助下,火狐浏览器也部署了反钓鱼式攻击技术。
与此同时,微软方面还表示,IE 7浏览器还是Windows XP的继任者安全性能更高的Windows Vista操作系统的一个组成部分。在Vista系统上,IE 7以较低的访问权限在一个虚拟环境中运行,也就是说任何企图在Vista中运行的恶意软件都无法触及这个操作系统的根本。
尽管安全是新版浏览器的首要特征,在其他方面IE 7也作了不少改进,例如分页式浏览、RSS支持、改进型工具条中的搜索框、改良的打印能力等,火狐浏览器的用户对上述这些概念可能会比较熟悉。
微软透露,beta 2版与beta 3版之间功能变化包括向用户提供在工具条上增添电子邮件按钮、录音标签、水平滚动条的能力。另外,用户还可以一次性更新所有的RSS源。
IE 7 beta 3仅能运行于Windows XP SP2系统之上,从6月29日起在微软的官方网站上即可下载使用。微软指出,在下半年IE 7最终版本上市之前,有可能还会发布一款所谓的“release candidate”版本。
此外,在下一版本Vista发布之时,微软也会同步推出一款IE 7浏览器的升级版本。
提高新一代浏览器IE 7的安全性能是2002年比尔-盖茨提出的“微软安全计划”的一部分。但是,也有人对微软这一计划的有效性提出了批评。市场研究机构IT-Harvest的首席分析师Richard Stiennon指出:“微软持续提高产品安全性是非常明智的做法,但并不是任何升级程序都能解决成千上万个没有对应用软件进行升级的人们所面临的问题。”
|
