Geralmente a primeira reacção que temos quando estamos perante uma situação nova é sentir algum receio. Este receio instintivo é um sentimento que é vencido com a experiência adquirida a enfrentar ou resolver essa mesma situação. A Internet continua a ser para muitos um ser desconhecido e assustador e devido a isso as duas palavras que geralmente associamos a Internet são: browser e firewall.Como sabemos, saiu recentemente o novo Internet Explorer 8. Podemos olhar para esta aplicação numa perspectiva meramente tecnológica: é mais seguro, mais rápido, mais estável, com novas e mais funcionalidades.
Neste artigo, aqui na WinTech, vamos focar pontos relacionados com a segurança:
Protecção contra sites fraudulentos
O Internet Explorer 8 tem um conjunto de defesas que nos protegem de ActiveX “mal intencionados”, de click-jacking, de cross-site scripting e links que tentam iludir-nos quanto ao destino final. Se o Internet Explorer 7 já tinha um filtro anti-phishing, o Internet Explorer 8 introduz uma funcionalidade chamada “SmartScreen Filter” que avisa o utilizador quando navega para sites maliciosos.
O Cross-site Scripting Filter impede que um site tente utilizar indevidamente código de outro site. Não é uma vulnerabilidade, é algo que os programadores utilizam para minimizar o esforço de desenvolvimento e reutilizar os recursos ao máximo mas que pode ser usado com fins maliciosos. O Cross-site Scripting Filter corre silenciosamente em background protegendo o utilizador.
Isolamento de Tabs
Esta é das melhores funcionalidades que podemos ter num browser. Existem algumas páginas ou sites que são conseguem causar o crash dos browsers (por desconhecimento ou propositadamente). Se estivéssemos a utilizar o Internet Explorer 7, o browser teria que ser reiniciado quando um tab falha. No Internet Explorer 8, com o “Tab Isolation” apenas falha o tab que estamos a usar.
Uma funcionalidade que poucas pessoas descobrem, é que é possível criar grupos de tabs – num tab criar outro. Assim obtemos tabs coloridos que ficam agrupados naturalmente.
Da mesma forma que que existe o isolamento de tabs, o Internet Explorer 8 tenta recuperar o conteúdo automaticamente. Incluindo os dados de algum formulário que estivesse a ser preenchido. Esta funcionalidade chama-se “Crash Recovery”
Realce do nome do domínio
Num ataque de Phishing o utilizador é enganado porque pensa que está perante um endereço de site familiar, quando na verdade está a consultar um site diferente. O Internet Explorer 8 realça o nome do domínio na barra de endereço, permitindo que o utilizador identifique com maior clareza o site que está a consultar.
Controlos ActiveX
Os controlos ActiveX são utilizados pelos programadores para executarem tarefas que não são possíveis de realizar apenas com as ferramentas disponíveis no browser. Precisam de executar código que fica encapsulado naquilo que chamamos controlo ActiveX. O Internet Explorer 8 está preparado e configurado de origem para não permitir a execução de controlos ActiveX que estejam num site diferente do site onde se está a consultar a informação.
Apagar o histórico
No Internet Explorer 7 a forma de apagar o histórico de navegação não era selectivo. Apagava toda a informação, mesmo que fosse importante para outros sites. O Internet Explorer 8 tem um “Enhanced Delete Browsing History” que permite apagar selectivamente a informação preservando as preferências do utilizador.
Data execution prevention
Alguns ataques aos browsers são feitos explorando algumas vulnerabilidades de memória. Esta funcionalidade “Data Execution Prevention”, que também existe no Windows, torna a mais difícil a exploração desta falha. Isto é feito impedindo que seja executado código que está em espaços de memória não autorizados.
Modo “InPrivate”
Associamos privacidade imediatamente a cookies. No entanto privacidade significa bastante mais quando estamos a navegar. O modo InPrivate deve ser usado quanto não pretendemos deixar vestígios da nossa navegação. Por exemplo quando estamos a consultar em sites de homebanking ou a fazer compras online num computador que não é o nosso. Este modo não guarda no computador local o histórico de navegação, os ficheiros temporários, dados de formulários, username e passwords nem cookies. InPrivate Filtering é a funcionalidade do Internet Explorer que protege os cookies de serem consultados por outros sites, garantindo assim que não há uma agregação maliciosa de dados pessoais ou de dados de navegação. Esta opção pode ser completamente configurada pelo utilizador.
Autor : Luis Alves Martins, da Microsoft Portugal
Neste artigo, aqui na WinTech, vamos focar pontos relacionados com a segurança:
Protecção contra sites fraudulentos
O Internet Explorer 8 tem um conjunto de defesas que nos protegem de ActiveX “mal intencionados”, de click-jacking, de cross-site scripting e links que tentam iludir-nos quanto ao destino final. Se o Internet Explorer 7 já tinha um filtro anti-phishing, o Internet Explorer 8 introduz uma funcionalidade chamada “SmartScreen Filter” que avisa o utilizador quando navega para sites maliciosos.
O Cross-site Scripting Filter impede que um site tente utilizar indevidamente código de outro site. Não é uma vulnerabilidade, é algo que os programadores utilizam para minimizar o esforço de desenvolvimento e reutilizar os recursos ao máximo mas que pode ser usado com fins maliciosos. O Cross-site Scripting Filter corre silenciosamente em background protegendo o utilizador.
Isolamento de Tabs
Esta é das melhores funcionalidades que podemos ter num browser. Existem algumas páginas ou sites que são conseguem causar o crash dos browsers (por desconhecimento ou propositadamente). Se estivéssemos a utilizar o Internet Explorer 7, o browser teria que ser reiniciado quando um tab falha. No Internet Explorer 8, com o “Tab Isolation” apenas falha o tab que estamos a usar.
Uma funcionalidade que poucas pessoas descobrem, é que é possível criar grupos de tabs – num tab criar outro. Assim obtemos tabs coloridos que ficam agrupados naturalmente.
Da mesma forma que que existe o isolamento de tabs, o Internet Explorer 8 tenta recuperar o conteúdo automaticamente. Incluindo os dados de algum formulário que estivesse a ser preenchido. Esta funcionalidade chama-se “Crash Recovery”
Realce do nome do domínio
Num ataque de Phishing o utilizador é enganado porque pensa que está perante um endereço de site familiar, quando na verdade está a consultar um site diferente. O Internet Explorer 8 realça o nome do domínio na barra de endereço, permitindo que o utilizador identifique com maior clareza o site que está a consultar.
Controlos ActiveX
Os controlos ActiveX são utilizados pelos programadores para executarem tarefas que não são possíveis de realizar apenas com as ferramentas disponíveis no browser. Precisam de executar código que fica encapsulado naquilo que chamamos controlo ActiveX. O Internet Explorer 8 está preparado e configurado de origem para não permitir a execução de controlos ActiveX que estejam num site diferente do site onde se está a consultar a informação.
Apagar o histórico
No Internet Explorer 7 a forma de apagar o histórico de navegação não era selectivo. Apagava toda a informação, mesmo que fosse importante para outros sites. O Internet Explorer 8 tem um “Enhanced Delete Browsing History” que permite apagar selectivamente a informação preservando as preferências do utilizador.
Data execution prevention
Alguns ataques aos browsers são feitos explorando algumas vulnerabilidades de memória. Esta funcionalidade “Data Execution Prevention”, que também existe no Windows, torna a mais difícil a exploração desta falha. Isto é feito impedindo que seja executado código que está em espaços de memória não autorizados.
Modo “InPrivate”
Associamos privacidade imediatamente a cookies. No entanto privacidade significa bastante mais quando estamos a navegar. O modo InPrivate deve ser usado quanto não pretendemos deixar vestígios da nossa navegação. Por exemplo quando estamos a consultar em sites de homebanking ou a fazer compras online num computador que não é o nosso. Este modo não guarda no computador local o histórico de navegação, os ficheiros temporários, dados de formulários, username e passwords nem cookies. InPrivate Filtering é a funcionalidade do Internet Explorer que protege os cookies de serem consultados por outros sites, garantindo assim que não há uma agregação maliciosa de dados pessoais ou de dados de navegação. Esta opção pode ser completamente configurada pelo utilizador.
Autor : Luis Alves Martins, da Microsoft Portugal {mosgoogle}
