Microsoft Internet Explorer 8 RC1 đương đầu với clickjacking

MOD

Phiên bản thử nghiệm tương đối hoàn thiện về chức năng (Release Candidate) của trình duyệt Internet Explorer 8 vừa được Microsoft phát hành đến người dùng với khả năng ngăn chặn các cuộc tấn công theo dạng web clickjacking cùng chức năng duyệt web riêng tư.

Khai thác clickjacking sẽ cho phép tin tặc đặt bộ lọc khó phân định trên các website nhằm xem thông tin truy cập của người dùng và những hoạt động của họ, theo James Pratt, quản lý cao cấp về sản phẩm trình duyệt IE tại Microsoft cho biết.

Ví dụ khi một người nào đó đang truy xuất vào website ngân hàng, tin tặc có thể sử dụng clickjacking để xem thông tin tài khoản ngân hàng và chiếm dụng mật khẩu mà nạn nhân không hề hay biết những thông tin nhạy cảm đã bị đánh cắp từ xa.

Chức năng bảo mật chống clickjacking trong IE8 RC1 cho phép các webmaster đặt 1 tag trên phần header của trang để giúp dò tìm và ngăn chặn clickjacking. Nếu một trang web sử dụng tag mà IE8 dùng để dò tìm clickjacking, nó sẽ xuất hiện một màn hình báo lỗi cảnh báo người duyệt web rằng nội dung đó không được phép hiển thị và cho họ tùy chọn để xem nội dung bị cảnh báo ở 1 cửa sổ mới đã được bảo vệ chống các cuộc tấn công.

Tuy nhiên, chuyên gia bảo mật Robert Hansen, CEO của công ty tư vấn bảo mật SecTheory, không đánh giá cao khả năng chống clickjacking của IE8 RC1. Giorgio Maone, tác giả của plugin NoScript (dành cho trình duyệt FireFox), cho rằng nguy hiểm nhất là người dùng thông thường của IE8 sẽ nghĩ rằng họ an toàn trước các cuộc tấn công clickjacking và cứ thế vô tư duyệt web. Hiện tại, người dùng FireFox vẫn có thể an toàn nếu sử dụng NoScript vì những cuộc tấn công clickjacking đòi hỏi trình duyệt phải cho phép các đoạn mã được thực thi.

IE8 RC1 cũng cải tiến thêm cho chức năng duyệt web riêng tư với tên gọi InPrivate Browsing từ phiên bản thử nghiệm IE8 Beta 2. InPrivate có 2 tùy chọn thiết lập: InPrivate Browsing cho phép người dùng duyệt web mà không để lại bất kỳ dấu vết nào về việc họ đã truy xuất vào đâu, kể cả cookie; thiết lập còn lại là InPrivate Blocking đã được đổi tên thành InPrivate Filtering, cho phép người dùng đặt 1 định mức về số lần hiển thị của những nội dung thứ ba trên trang web mà họ đang duyệt và người dùng cũng có thể biết những chủ sở hữu nội dung thứ ba đang thu thập những thông tin về thói quen duyệt web của mình.

Microsoft bổ sung thêm chức năng danh sách "website đề xuất" (Suggested Sites) hiển thị các 5 website tương tự website đang duyệt. Và theo hãng này, tốc độ mở IE8 RC1 cũng như mở thẻ (tab) mới đã nhanh hơn trước.

Vẫn chưa tạo được ấn tượng

Tuy phiên bản IE8 RC1 đã có những thay đổi và cải tiến so với IE7, nhất là việc hỗ trợ các chuẩn web như CSS và RSS nhưng vẫn chưa đạt hiệu quả cao. IE8 bổ sung chế độ "Compatibility Mode" cho người dùng khi họ duyệt các website được thiết kế dành cho các phiên bản IE trước đó.