To koniec pasków narzędziowych i ActiveX: w nowej przeglądarce Microsoftu nie ma dla nich miejsca
Następca Internet Explorera, przeglądarka znana dziś już podoficjalną nazwą Edge, ma być zarazem jedną z najbezpieczniejszychprzeglądarek na rynku – twierdzą deweloperzy Microsoftu.Praktycznie całkowite zerwanie z przeszłością sprawić ma, żeEdge będzie odporny na wszelkiego rodzaju ataki phishingowe,exploity wykorzystujące uszkodzenia pamięci czy złośliwerozszerzenia. Przyjdzie nam za to zapłacić jednak utratąkompatybilności z rozwiązaniami, które były znakami firmowymiInternet Explorera. Edge nie obsłuży języka VB Script, wtyczekBrowser Helper Object, komponentów i kontrolek ActiveX, a nawetautorskich pasków narzędziowych.
Menedżer programu Edge Crispin Cowan wewpisie na blogu deweloperów przeglądarki przedstawił całąlistę technik, dzięki którym Edge ma wznieść się na taki poziombezpieczeństwa. Kontrola reputacji dostawcówSSL, filtr SmartScreendo blokowania stron phishingowych i hostujących złośliweoprogramowanie, wyróżnianie połączeń HTTPS i witryn stosującychExtended Validation – to oczywiście nic nowego. Uzupełnić jejednak ma kilka nowości.
Edge będzie więc dysponowało własnym zbieraczem nieużytków,mającym zautomatyzować proces uwalniania pamięci i chroniącymprzez atakami wykorzystującymi podatności use-after-free. Z koleiznana z Visual Studio technika Control Flow Guard utrudnić maprzejęcie programu przez wrogi kod, ograniczając liczbę miejsc, wktórych uszkadzający pamięć atak mógłby przeskoczyć.
Zwiększenie odporności na złośliwe rozszerzenia możliwe jestdzięki ograniczeniu ich powierzchni styku z samą przeglądarką.Silnik renderujący i wszystkie jego wątki będą bowiem działaływ izolowanych od siebie kontenerach. Sama przeglądarka też będzieizolowana od Windows, w przeciwieństwie do Internet Explorera jestwidziana jako po prostu jedna z aplikacji, a nie komponent systemu.Deweloperzy Edge przekonani są, że dziś nikt już nie będzietęsknił za porzuconymi z tego powodu metodami rozszerzeń IE,wszystko to co niegdyś oferowały, dziś da się zrealizować wHTML5 i JavaScripcie.
Nowa przeglądarka przynosi też oczywiście wsparcie dlaszyfrowania TLS i protokołu HTTP2 oraz integrację z mechanizmemuwierzytelniania Windows Passport, dzięki któremu będziemy moglizapomnieć już o ręcznym wpisywaniu loginów haseł do stroninternetowych. Redmond zadba też o to, by użytkownicy zawszedysponowali jej najnowszą wersją – jako aplikacja Windows Storebędzie automatycznie aktualizowana bez konieczności jakichkolwiekdziałań ze strony użytkownika.
Ile warte są te zapewnienia pokażą oczywiście dopierohakerskie konkursy, takie jak Pwn2Own, ale widać, że Microsoft dosprawy bezpieczeństwa podchodzi znacznie poważniej niż kiedyś.Wzorem Google włączył nawet Edge do konkursuz nagrodami pieniężnymi dla odkrywców luk w swoich produktach,rozumiejąc, że bezpieczeństwo jest procesem, a nie możliwym doosiągnięcia celem.
Wygląda na to, że tak popularne dziś Chrome będzie miałoniebawem potężnego rywala.