Microsoft tiết lộ tính năng bảo mật mới IE8

Hôm qua (2/7), Microsoft đã tiết lộ một số tính năng bảo mật mới sẽ được tích hợp vào trong phiên bản thử nghiệm kế tiếp Internet Explorer 8 dự kiến sẽ chính thức ra mắt trong tháng tới.

Austin Wilson - Giám đốc quản lý sản phẩm máy trạm Windows - cho biết Internet Explorer 8 Beta 2 sẽ được tích hợp thêm hai công cụ bảo mật mới giúp tăng cường an toàn cho người dùng khi duyệt web.

Chống mã độc

Công cụ bảo mật đầu tiên được bổ sung vào IE8 Beta 2 có tên là "SmartScreen Filter", giúp bổ sung thêm khả năng chống mã độc cho công cụ chống lừa đảo trực tuyến đã có sẵn trong Internet Explorer 7.

Thực chất SmartScreen Filter khá tương tự cơ chế bảo vệ được tích hợp trong Firefox 3.0 và Opera 9.5. Chức năng của công cụ này là cảnh báo người dùng khi họ truy cập vào bất kỳ website nào đã được nhận diện là độc hại đồng thời chặn mọi yêu cầu tải tệp tin xuống PC người dùng từ những website như thế này.

Không giống như Firefox dựa chủ yếu trên một "danh sách đen" những website độc hại đã được nhận diện lưu trữ trực tiếp trên PC người dùng và được cập nhật liên tục mỗi khi người dùng kết nối Internet, IE8 sẽ chủ động ra quyết định website đang truy cập có độc hại hay không bằng cách PING trực tiếp đến máy chủ chứa website đó.

Ngoài ra, Microsoft cũng sẽ sử dụng nhiều nguồn thông từ các hãng khác nhau để xây dựng nên "một danh sách đen" các website độc hại và lừa đảo trực tuyến cũng như từ công cụ Windows Defender của chính hãng. Ông Wilson không tiết lộ danh sách những hãng cung cấp thông tin.

"Microsoft sẽ sử dụng các luồng thông tin (data feed) và cập nhật danh sách đen nhiều lần trong một ngày," ông Wilson cho biết. "IE8 sẽ chủ động kết nối tới máy chủ chứa website khi người dùng truy cập. Nếu đó là website độc hại hoặc lừa đảo trực tuyến thì IE8 sẽ chặn truy cập đến website đó và phát lời cảnh báo người dùng".

Ông Wilson cũng phủ nhận quan điểm cho rằng tiến trình kiểm tra như thế sẽ làm chậm hiệu suất duyệt web của IE8. "Quá trình IE8 kết nối tới máy chủ website diễn ra gần như đồng thời với việc tái hiện lại website đó trên cửa sổ trình duyệt".

Chống tấn công XSS

Công cụ bảo mật thứ hai được tích hợp trong IE8 Beta 2 là bộ lọc chống tấn công XSS (cross-site scripting). "Cho dù người dùng có kiểm tra đường dẫn URL nhằm bảo đảm đường dẫn đó đúng và trỏ đến website hợp pháp nhưng họ vẫn thường xuyên bị tấn công. Nguyên nhân là do lỗi bảo mật bên phía máy chủ web".

"Chính vì thế mà Microsoft đã quyết định bổ sung thêm khả năng phát hiện tấn công XSS cho IE8. Tính năng này sẽ chặn cá đoạn mã trên máy chủ giúp chặn không cho vụ tấn công được xảy ra trên trình duyệt".

Tính năng lọc tấn công XSS sẽ được mặc định kích hoạt trong IE8. Khi phát hiện ra vụ tấn công trình duyệt sẽ chủ động ngăn chặn và người dùng sẽ không phải "xử lý" bất kỳ pop-up hay hộp thoại bung ra để cảnh báo về việc này.

David Ross - một chuyên gia bảo mật của Microsoft - thừa nhận công cụ lọc tấn công XSS sẽ không thể bảo vệ người dùng trước mọi cuộc tấn công XSS. "Công cụ này chỉ có thể chống lại những vụ tấn công XSS phổ biến đã được biết đến. Tuy nhiên, tấn công XSS thì muôn hình vạn trạng rất khó có thể biết hết được".

John Pescatore - một chuyên gia nghiên cứu của Gartner - lên tiếng ủng hộ kế hoạch bổ sung thêm công cụ bảo mật cho IE8 của Microsoft.