Preview IE8 bèta 2: de tijden veranderen

Het ontwikkelteam stelt dat het bij de bouw van IE8 niet alleen heeft gekeken naar methoden om de veiligheid van de browser te verbeteren, maar dat het tevens in wil spelen op de groeiende behoefte aan bewaking van de privacy. De introductie van de Inprivate Browsing-modus, waarover Tweakers.net reeds eerder berichtte, is daartoe een eerste aanzet. Tijdens een Inprivate-sessie, die via het 'safety'-menu is te activeren, bewaart IE8 geen zoek- en surfgeschiedenis. De modus kan echter niet geactiveerd worden als ouderlijk toezicht in Windows Vista is ingeschakeld.

Inprivate Blocking
Aanvullend op de Inprivate-modus heeft Microsoft de zelflerende tool Inprivate Blocking in de browser geïntegreerd. Tijdens het surfen in privacymodus signaleert de software content op een website die van externe partijen afkomstig zijn. Via een dialoogvenster kan de gebruiker zelf aangeven of hij dergelijke content wil blokkeren, zodat het voor derden moeilijker wordt om met behulp van cookies of javascript het surfgedrag van een individu in kaart te brengen. Om de lijst met al te nieuwsgierige partijen zo compleet mogelijk te maken, kan er een abonnement worden genomen op door de webcommunity onderhouden blacklists. Aanvullend op de privacy-opties biedt een verbeterde 'delete browsing history'-dialoog nu de mogelijkheid om cookies van veelbezochte websites met rust te laten.

Smartscreen-filter
Het IE-team zegt ook veel tijd te hebben gestoken in het veiliger maken van Internet Explorer, een browser die in het verleden vaak werd misbruikt voor het installeren van kwaadaardige software, zoals virussen en keyloggers. Het Smartscreen-filter moet een nieuwe drempel opwerpen tegen internetcriminelen door malware-aanvallen voortijdig af te slaan. Het filter betrekt de informatie over gevaarlijke websites van een centrale database en waarschuwt de gebruiker wanneer hij een verdachte website wil openen of een als malware betiteld bestand probeert te downloaden. Microsoft stelt dat bij het raadplegen van de malware-database geen ip-adressen worden opgeslagen.

Als extra stok achter de deur heeft IE8 ook een filter dat cross site scripting-aanvallen moet tegengaan. De code op een website wordt heuristisch gescand op zogeheten type-1 aanvallen, en eventueel gevaarlijke scripts worden volgens de softwaregigant op tijd onschadelijk gemaakt.

Activex-controls
Om malware-aanvallen via Activex-controls in te dammen, werd in IE7 aan de gebruiker om een bevestiging gevraagd voordat een addon gebruikt kon worden. Het was echter mogelijk om in bepaalde gevallen de Activex-controls via andere websites aan te roepen, waardoor een gat in de beveiliging werd geslagen. In Windows Vista vraagt het uac-dialoogvenster daarnaast om een extra bevestiging. Deze methode werkt echter alleen voor accounts met administrator-rechten. In IE8 kan een normale Vista-gebruiker een Activex-control opslaan in zijn eigen profielmap. Zo moet voorkomen worden dat andere gebruikers risico lopen, terwijl het toch mogelijk blijft om veelgebruikte Activex-elementen zonder administrator-rechten te installeren. Daarnaast kunnen Activex-controls in IE8 uitsluitend samenwerken met het domein dat ze uitgeeft, tenzij de gebruiker uitdrukkelijk toestemming geeft dat ook vanuit andere domeinen aangesproken mag worden.

Tenslotte heeft Microsoft op systemen die Windows Server 2008 of Windows Vista met SP1 draaien standaard data execution prevention geactiveerd, waardoor malware die gebruik probeert de maken van buffer overflows tegengegaan moet worden. In IE7 moest deze instelling nog handmatig geactiveerd worden.