【TechTarget中国原创】微软官方发布了IE 8，其中包含了一些新的安全功能，可以改善隐私性和防御钓鱼攻击和跨站脚本攻击的功能。

　　微软和其他浏览器制造商已经配置了附加的安全功能，修复通过浏览器执行的越来越多的攻击。IE 8和它支持的安全防御功能已经测试了大约一年的时间了。

　　但是攻击者可以成功地比浏览器的制造商多走一步。在IE 8测试版中的漏洞已经在上周的CanSecWest安全会议上被攻击了。但是，微软还在说浏览器的安全功能可以成功地帮助减轻很多严重的威胁，并帮助防御用户错误地导致恶意代码的执行。

　　安全专家称赞了安全性的改善，但是说攻击者可以继续使用浏览器作为攻击携带者。Mozilla将继续保护Firefox，研究人员仍然会发现可以利用的Apple Safari漏洞，而Google也在继续修复新的Chrome浏览器中的漏洞。攻击者还将继续利用Flash和Java Web应用中的漏洞，使浏览器的安全性防御变得更难。

　　Black Hills Information Security的高级安全研究人员John Strand 说：“所架构的保护都是极好的，但是他们的最好的使用时间已经过了三年了。基本上如果你允许用户接触互连网这团火，他们就会被烧伤。”

　　Sourcefire Inc.的漏洞研究经理Matt Watchinski说，浏览器制造商还是不能排除人为因素，而攻击者可以用以访问已知的浏览器漏洞。

　　Watchinski 说：“对这些浏览器的新功能，你可以说的最好的是‘欢迎’，但是黑客用不了多久就会进行测试。人们会点击发送给他们的任何东西。”

　　微软正在致力于使用XSS过滤器来减轻常见问题，可以防御Type-1 XSS攻击。IE 8 中的过滤器可以监控浏览器的所有请求和回应，并在检测到的时候自动禁用XSS攻击。当攻击被阻止的时候，用户会收到修正后的请求页面警告。IE 8中还植入了分析URL字符串以及高亮显示地址栏中的高级域名的功能，防止用户受到网站的欺骗。

　　微软说，SmartScreen筛选器已经重新设计了，这样用户通过恶意网页点击就更困难了。在检测到恶意代码时打开的对话框也已经被用红色标记和一行的摘要重新设计了，这样就可以一眼就看出危险。

　　Shavlik Technologies LLC.的安全数据团队经理Jason Miller说：“在这些浏览器的最后使用时间中，应该防御普通用户受到钓鱼攻击并防御恶意软件进入他们的系统。从我们所看到的来说，这是一次很大的机遇，使之前从来没有过的。”

　　微软还改善了对在浏览某些网页时，需求越来越大的隐私性问题。被称为InPrivate浏览模式的新功能可以使用户控制是否让IE保存他们的浏览对话记录。和 Goolge的Chrome浏览器的Incognito模式类似，IE 8的InPrivate在激活后不会保存cookie、密码、浏览记录或者其他任何记录。微软说，InPrivate还可以防御数据、密码和临时互联网文件的存储，让对话完全保密。

　　IE 8包括阻止clickjacking攻击的新功能，可以防止用户点击模糊或者隐藏的Web因素。这个功能可以检测Web开发人员设计的website header，其中声明了敏感网页中包含多少个frame。微软说这种技术不太完美，但是可以持续减轻clickjacking恶意网页的危险。

　　ActiveX控件已经调整过了。IE 8中新的ActiveX功能可以分析网站中包含的ActiveX控件，决定控件是否允许运行。如果控件被怀疑是恶意的，用户就会收到警告信息框。浏览器还有针对应用厂商的killbit的功能。如果厂商怀疑漏洞控件被攻击了，它可以阻止浏览器中特殊控件的使用。

　　一些对内存的攻击也在IE 8中修复了。IE8中承接了IE7中的数据执行防御功能，但是现在是默认激活的。数据执行防御可以阻止内存中标记为不可执行的代码的运行。

　　AJAX rendering也被改善了。跨文档信息功能可以使AJAX开发人员改善代码。使用这种功能，IE 8可以确保机密信息只能发送给目标接受人。

　　最后，IE还包含了自动崩溃灰度功能，可以恢复到失败点。微软说，崩溃现在也已经分离到独立的浏览器标签中。