Microsoft'un tarayıcısı 7. sürümden bu yana bir güvenlik gezisinde. Vista kullanıcıları çoktan beridir "Korumalı Mod" (Protected Mode) gibi özelliklerden yararlanıyor. Kimlik-Avı filtresi de (Phishing Filter) yeni bir özellik sayılmaz ama Internet Explorer 8 ile (IE8) tamamen yeniden elden geçirilecek. Microsoft bu yeni özelliğe Güvenlik Filtresi (SmartScreen Filter) diyor ve güncel kimlik-avı korumasını kırmızı renkte ve daha anlaşılabilir uyarı mesajları, zararlı yazılım koruması ve sezgisel tarama (heuristic) ile genişletiyor. Sezgisel tarama özelliği sayesinde kötü amaçlı web siteleri belli bir kara listede (Blacklisting) bulunmasa dahi ortaya çıkarılabilecek. Ayrıca Microsoft yeni filtresi için düzgün bir performans artışı vaat ediyor.
Şimdiye kadarki kimlik-avı filtresi sadece tipik Windows güvenlik-etiketleri ve "Bu web sitesi güvenli olmayan bir web sitesi olarak derecelendirildi" şeklinde ibareler ile uyarıyordu. IE8'in ikinci betasından itibaren güvenlik filtresinin mesajları koyu kırmızı arka plan üzerinde çıkacak. Belirgin şekilde vurgulanmış bir cümle kullanıcıyı başlangıç sayfasına yönlendirecek. Buna ek olarak sezgisel metotlar ile arka planda şüpheli web site denetimi yapılacak. Böylece bir site kara listede bulunmasa bile güvenlik filtresi ortaya çıkıyor ve kullanıcıyı potansiyel zararlı web sitesini bildirmesi için yönlendiriyor. Buna ek olarak filtre indirdiğiniz dosyaları da gözetliyor. Eğer zararlı olduğu bildirilmiş bir dosya indiriyorsanız güvenlik filtresi indirme işleminin önüne geçecek.
ActiveX düzeltmeleri
Internet Explorer eklentileri (ActiveX denetim öğeleri) yakında kullanıcılar tarafından kişisel olarak ve yönetici hakları olmadan (UAC) kurulabilecek. Bu sayede kullanıcılar birbirinden bağımsız olarak günlük işleri için gerekli bileşenleri kurabilecekler. Bilgi çubuğuna tıklayarak kullanıcı (haklarına bağımlı olarak) içeriğin sadece kendi hesabı yahut tüm sistem için kurulup kurulmayacağını seçiyor. Zararlı bir ActiveX öğesi şüpheli bir durumda sadece o anki kullanıcının haklarına erişebiliyor. Geri kalan sisteme hiçbir şekilde dokunulamıyor.
Tekil kullanıcıların yanında ActiveX içerikleri sadece tek bir internet sitesi içinde sınırlandırılabiliyor. Kayıt defterindeki bir girdi yeterli; örneğin Flash içeriklerinin sadece youtube.com'da oynatılmasını sağlayabilirisiniz. Böylece geri kalan hiçbir sitede Flash içerikleri görüntülenmiyor. Kullanıcı gerektiği durumda bilgi çubuğuna tıklayıp diğer sitelere de izin verebilir; elbette yeterli haklara sahip olması koşulu ile.
Daha sonradan zararlı olduğu ortaya çıkan ActiveX kontrolleri için Microsoft "ilacı" sonradan veriyor. Bu tip bir eklentiyi sunanlar Microsoft'tan bir sonraki otomatik güncelleme ile bir "Killbit" dağıtmasını isteyebilirler. Bu sayede eklenti bir sonraki güncellemede engellenmiş oluyor.
DEP ve Domain-Highlighting
Data Execution Prevention (Veri Yürütme Engellemesi, DEP) bellekte zararlı kod yürütmeyi engelleyen bir koruma özelliğidir. Vista'nın programları her başlangıçta rastlantısal bellek bölgelerine yazmasını sağlayan Adress Space Layout Randomization (ASLR) özelliği ile beraber DEP, gelecekte bellek taşmalarını ve benzer saldırıları önleyecek. Gerçi Internet Explorer 7 DEP'i çoktan destekliyor. Fakat uyumluluk sorunları sebebiyle bu fonksiyon varsayılan olarak kapalı tutuluyor. Bu durum IE8 ile değişecek.
IE8'in ilk betasında Domain-Highlighting (alan vurgulama) özelliği görülebiliyor. Adres satırındaki URL sitenin alan adına kadar gri tonda gösteriliyor. Kullanıcılar bu şekilde istedikleri sitede mi yoksa bir kimlik-avı sitesinde mi olduklarını daha çabuk anlayabilecekler.
Cross-Site-Scripting saldırılarına karşı filtre
Cross-Site-Scripting (XSS) gittikçe daha sık kullanılan bir saldırı biçimi haline geldi. Bu yöntem ile saldırgan tarayıcı oturumlarına sızabiliyor, çerezleri çalabiliyor ve parola girişlerini denetleyebiliyor. Saldırgan bu sırada doğru denetlenmemiş kullanıcı girişlerini (mesela online mağazalar) kullanıyor. Filtre olmadan, yerleştirilen script'ler kullanıcının tarayıcısına bulaşabilir ve orada gerekli bilgileri araklayabilirler. Microsoft'un yeni XSS filtresi IE8'de bunun önüne geçecek. Bilgi çubuğundaki bir mesaj olası XSS saldırısına işaret ediyor.
Yeni önlemler ne getiriyor?
Microsoft'un tarayıcı güvenliğine yatırım yapması hem sevindirici hem de gerekli. Sonuçta IE yüzde 70 pazar payı ile (sayılar Haziran 2008; kaynak: Net Applications) en çok kullanılan tarayıcı olma unvanını elinde tutuyor. Kullanıcı bazlı ActiveX kontrolleri ve DEP korumasının varsayılan olarak etkin gelmesi gibi özellikler çok hoş fakat IE8 ile çok geç geliyor.
Domain-Highlighting ve XSS filtresinin kullanımı ise ihtilaflı. Gerçi filtre "Script-Kiddie" şeklinde tabir edilen saldırganları uzun bir süre uğraştıracaktır. Firefox eklentisi NoScript'i programlayan Giorgio Maone için bu korumanın devre dışı bırakılması an meselesi. Geriye ise zekice gizlenmiş script-saldırılarını ortaya çıkarmak için Microsoft'un filtresini ne kadar hızlı bir şekilde güncelleyeceğini beklemek kalıyor. Gerçi siteler güvenilir ortamda değerlendiriliyor. Fakat görüntülenen bilgi çubuğu kullanıcı tarafından kolaylıkla ihlal edilebilir ve tamamen görmezden gelinebilir. Doğal olarak güvenliğe yönelik sonuçlar tatmin edici olmayabilir. Microsoft'un yeni Güvenlik Filtresinde kullandığı belirgin uyarıların XSS filtresinde de kullanılması çok mantıklı olacaktır.
Download: Internet Explorer 8 Beta