1 / 21

Internet Explorer 7 先 睹 为快(上) - 特为中国 TechEd 预演

WCI 311. Internet Explorer 7 先 睹 为快(上) - 特为中国 TechEd 预演. 顾建荣 软件开发主管 IE 开发 组 微软有限公司. 议程. 回顾 IE6 IE7 安全改进 IE7 方便用户使用改进 IE7 平台改进. 回顾 XP SP2 IE. 质量和响应速度巨大改进 修补程序回归从 40% 降至 ~0% 安全显著改进 Exploits 减少了 40% XPSP2 IE 的 Exploits 显著少于竟争产品 “ SP2 is tough as nails …”

gaura
Download Presentation

Internet Explorer 7 先 睹 为快(上) - 特为中国 TechEd 预演

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. WCI 311 Internet Explorer 7先睹为快(上)-特为中国TechEd预演 顾建荣 软件开发主管 IE 开发组微软有限公司

  2. 议程 • 回顾IE6 • IE7安全改进 • IE7方便用户使用改进 • IE7平台改进

  3. 回顾XP SP2 IE • 质量和响应速度巨大改进 • 修补程序回归从 40% 降至~0% • 安全显著改进 • Exploits 减少了40% • XPSP2 IE的Exploits 显著少于竟争产品 “SP2 is tough as nails…” -Greyhats Security Group (1/28/05 )

  4. 回顾XP SP2 IE • 本地计算机区域锁定安全 • 脚本化 Window 安全限制(Scripted Window Restrictions) • 禁止弹出窗口 • 禁止自动下载 • 加载项管理器 (Add-on Manager)

  5. 回顾XP SP2 IE • 信息泄漏与任意源码执行同等重要 • XPSP2 在安全上的努力对减少攻击类型及严重性非常有效 • 即使是安全强硬派也需要新功能

  6. IE7安全改进 • 防止网络欺诈 • 保护模式 IE (Windows VISTA) • 国际网站命名(IDN) • SSL 用户接口 • 统一处理URL(cURL) • Cross Domain Script • ActiveX opt-in • 所有窗口都有地址栏 • 更安全的安全设定 • 家长控制 • 不留痕迹

  7. IE7安全改进 防止网络欺诈 • 事实 • “The Anti-Phishing Working Group reported 1,422 unique phishing attacks in June, up 19percent over May. For the 12-month period that ended in April, phishing attacks cost victims $US1.2 billion…” Gartner in ComputerWorld • Phishing sites keep coming up (400-500 a day)

  8. Anti-Phishing Working Group http://www.antiphishing.org/index.html

  9. IE7安全改进 防止网络欺诈 • 欺诈网站多而短寿。受害网站难以提供可伸缩性的解决方案 • 本地数据库存放常用的网站 • 在线远程服务器提供及时信息 • 网站可信级别 • 在线检查,临时检查,报告欺诈网站

  10. IE7安全改进 防止网络欺诈 • 防止网络欺诈演示 • 在线欺诈分析器保护用户受欺诈 • 报告可疑网站为欺诈网站 • 防止网络欺诈的不同使用模式

  11. IE7安全改进 保护模式IE • 要解决的问题 • 绝大多数人用管理员身份上网 • IE是一个平台 • 缓冲器溢出,内存访问出错等

  12. IE7安全改进 保护模式IE • 最近的攻击 • Internet Explorer JPEG Parser BO - July • “A memory corruption error within the processing of JPEG images can be exploited to execute arbitrary code” - Secunia • Adobe warns of Reader bug - August • “By crafting a malicious PDF file, a remote attacker could cause the applications to commandeer the target computer” - CNET

  13. IE7安全改进 保护模式IE • 网络攻击日趋严重 • 病毒传染迅速 • IE是电脑与外界连接的一个重要接口 • 如何限制损害?

  14. IE7安全改进 保护模式 IE • MIC (Mandatory Integrity Control) • MIC级别: 高,中,低 • 安全对象(Securable Objects) • 访问令牌 (Access Tokens)含有新的MIC级别 • COM 激活模式(Activation modes) • 不同MIC级别的安全对象(如Mutex,文件)分享

  15. IE7安全改进 保护模式 IE • Windows Vista UAP(用户帐户保护) • 权限 (Privilege) • 文件和注册表存访

  16. IE7安全改进 保护模式 IE • 安装软件级别提升 • ShellExecute • Create Process • WinExec • CoCreateInstance

  17. IE7安全改进 保护模式 IE • 粉碎窗口(Window Shattering) • 保护模式IE如何保护用户 • 虚似文件和注册表

  18. Windows Vista 保护模式 IE

  19. 演示: 保护模式 IE 在这个演示中, 你会看到Windows Vista保护模式IE如何做到: • 在有限制的情况下运行,以防止遭受攻击时被装入不良软件。 • 如何安装IE附件 • 仍然允许用户下载文件并改变设定。 • 不良ActiveX无法破坏用户数据。 • 企业如何部署保护模式IE。

  20. XPSP2 LMZ锁定 • URLACTION_ACTIVEX_ RUN resolves to Disallow. • URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY resolves to Disallow. • URLACTION_SCRIPT_ RUN resolves to Prompt. • URLACTION_CROSS_DOMAIN_ DATA resolves to Prompt. • URLACTION_BINARY_BEHAVIORS_BLOCK resolves to Disallow. • URLACTION_JAVA_PERMISSIONS resolves to Disallow.

More Related