Meckpommi
23.07.2008, 23:06
Der neue Internet Explorer 8 wird nicht nur schöner und bequemer. Mit zahlreichen Features soll der Browser auch bombensicher werden. CHIP Online stellt die Sicherheitsmaßnahmen vor.
http://www.chip.de/unabh_dateien/4921368/aufmacher.jpg
Microsoft Internet Explorer 8: Wie sicher wird die neue Browser-Generation von Microsoft?
(http://www.chip.de/ii/grossbild_v2.html?grossbild=177792694_60c6878dc7.j pg&grossbild_bu=%3Cb%3ESicherheitsfilter%20alt%20und% 20neu%3A%3C%2Fb%3E%20Deutlichere%20Dialoge%20warne n%20vor%20sch%26auml%3Bdlichen%20Webseiten%20und%2 0Downloads.&ivwkat=%28%5D317sonstig%2F%28%5D106allg%2FSicherhe it+%26+Viren%2FSicherheit+im+Test&cxo_alphabet_pfad=%28%7Dsonstiges%2F%28%7DTest+%26 +Kaufberatung%2FSicherheit+%26+Viren%2FSicherheit+ im+Test&sales=T%26T_Sicherheit&R2_IR_CONTAINER_ID=32197404&R2_IR_BEITRAG_ID=5268491&R2_IR_LAYOUT_ID=3072&R2_TITEL=Artikel%2520-%2520Preview%253A%2520IE8-Sicherheit&R2_IR_CONTAINER_URL=http%3A%2F%2Fwww.chip.de%2Fart ikel%2FPreview-IE8-Sicherheit_32197404.html) Seit Version 7 ist Microsofts Browser auf dem Sicherheits-Trip. Vista-Nutzer profitieren schon heute von Features wie dem geschützten Modus (Protected Mode). Auch der Phishing-Filter ist ein alter Hut, soll für den neuen Internet Explorer 8 (IE8) aber komplett überholt werden. Microsoft nennt das Feature Sicherheitsfilter (SmartScreen Filter) und erweitert den betagten Phishing-Schutz um deutlichere tiefrote Warnhinweise, Malware-Abwehr und Heuristiken, die bösartige Webseiten selbst dann entlarven sollen, wenn Sie noch nicht auf einer schwarzen Liste stehen (Blacklisting). Außerdem verspricht Microsoft einen ordentlichen Leistungsschub für seinen neuen Filter.
http://www.chip.de/ii/177792693_4b8613a3ae.jpg
Bisher warnt der Phishing-Filter lediglich mit dem Windows-typischen Security-Schildchen und dem Hinweis "Diese Webseite wurde als unsichere Webseite gemeldet". Ab der zweiten Beta-Version des IE8 werden Meldungen des Sicherheitsfilters einen tiefroten Hintergrund erhalten. Ein deutlich hervorgehobener Satz fordert den Nutzer zur Rückkehr auf seine Startseite auf. Zusätzlich halten heuristische Methoden im Hintergrund Ausschau nach verdächtigen Webseiten. Selbst wenn so eine Seite nicht auf einer Blacklist steht, meldet sich der Sicherheitsfilter und fordert den Nutzer auf, potenziell unsichere Seiten zu melden (siehe Fotostrecke (http://www.chip.de/bildergalerie/Internet-Explorer-8-Die-neuen-Sicherheits-Features-Galerie_32204537.html)). Außerdem überwacht der Filter künftig Ihre Downloads. Handelt es sich dabei um eine gemeldete Datei oder ist dem Browser der Server als gefährlich bekannt, verhindert der Sicherheitsfilter den Download.
ActiveX-Verbesserungen
Erweiterungen für den Internet-Explorer, die ActiveX-Steuerelemente, lassen sich bald von einzelnen Nutzern individuell und ohne Administrator-Rechte (UAC) installieren. Dadurch können Nutzer unabhängig voneinander genau die Komponenten installieren, die sie für ihre tägliche Arbeit benötigen. Per Klick auf den Informationsbalken wählt der Anwender (abhängig von seinen Rechten), ob ein Inhalt nur für sein Konto oder das gesamte System installiert werden soll. Ein schädliches ActiveX-Element erhält im Zweifelsfall nur Zugriff auf die Rechte des momentanen Nutzers. Das restliche System bleibt unberührt.
http://www.chip.de/ii/177792702_c1b7c9a670.jpg
Neben einzelnen Nutzern können ActiveX-Inhalte auch auf ganze Internet-Angebote beschränkt werden. Ein Eintrag in die Registrierung genügt und Flash-Inhalte werden zum Beispiel nur auf youtube.com wiedergeben, auf allen anderen Seiten aber nicht. Der Anwender kann sie bei Bedarf mit einem Klick auf den Informationsbalken dennoch zuzulassen, sofern er über ausreichende Rechte verfügt.
Für ActiveX-Kontrollen, die sich erst später als angreifbar herausstellen, führt Microsoft die "Pille danach" ein. Anbieter der betreffenden Erweiterung können Microsoft bitten, ein "Killbit" mit den automatischen Updates zu verteilen. Die Erweiterung wird darauf mit dem nächsten Update gestoppt.
(http://www.chip.de/ii/grossbild_v2.html?grossbild=177792697_59f0fc085d.p ng&grossbild_bu=%3Cb%3ESpeicherschutz%3A%3C%2Fb%3E%20 In%20der%20kommenden%20IE-Version%20standardm%26auml%3B%26szlig%3Big%20aktiv .&ivwkat=%28%5D317sonstig%2F%28%5D106allg%2FSicherhe it+%26+Viren%2FSicherheit+im+Test&cxo_alphabet_pfad=%28%7Dsonstiges%2F%28%7DTest+%26 +Kaufberatung%2FSicherheit+%26+Viren%2FSicherheit+ im+Test&sales=T%26T_Sicherheit&R2_IR_CONTAINER_ID=32197404&R2_IR_BEITRAG_ID=5268491&R2_IR_LAYOUT_ID=3072&R2_TITEL=Artikel%2520-%2520Preview%253A%2520IE8-Sicherheit&R2_IR_CONTAINER_URL=http%3A%2F%2Fwww.chip.de%2Fart ikel%2FPreview-IE8-Sicherheit_32197404.html) DEP und Domain-Highlighting
Die Data Execution Prevention (Datenausführungsverhinderung, DEP) ist eine Schutzfunktion, die das Ausführen von schädlichem Code im Arbeitsspeicher verhindern kann. DEP zusammen mit Vistas Adress Space Layout Randomization (ASLR (http://blogs.msdn.com/michael_howard/archive/2006/05/26/608315.aspx)), die den Speicherbereich von Anwendungen beim Start zufällig vergibt, soll Speicherüberläufe und ähnliche Attacken vereiteln. Zwar unterstützt der Internet Explorer die DEP bereits seit Version 7. Durch Kompatibilitätsprobleme mit Erweiterungen war die Funktion bisher aber standardmäßig deaktiviert. Dies soll sich mit dem IE8 ändern.
Schon in der ersten Beta des IE8 ist das Domain-Highlighting zu sehen. Die URL in der Adresszeile des Browsers wird ausgegraut, bis auf die Domain der Seite. Anwender sollen so schneller sehen können, ob sie auf der gewünschten oder einer Phishing-Seite gelandet sind
http://www.chip.de/ii/177792701_3617770dc3.jpg
Filter gegen Cross-Site-Scripting
Cross-Site-Scripting (XSS) stellt eine immer häufiger genutzte Angriffsform dar, mit der Übeltäter Browsersitzungen entführen, Cookies stehlen und Passwort-Eingaben überwachen. Der Angreifer nutzt dabei schlecht überprüfte Benutzereingaben einer Webseite, etwa eines Online-Shops. Ohne Filter können eingeschleuste Skripte zum Browser des Opfers wandern und dort die benötigten Daten stibitzen. Microsofts neuer XSS-Filter soll dies beim IE8 verhindern. Eine Meldung im Informationsbalken weist den Benutzer auf mögliche XSS-Attacken hin.
http://www.chip.de/ii/177792703_0bc84227ae.jpg
Was bringen die Maßnahmen?
Es ist erfreulich und ebenso notwendig, dass Microsoft in die Sicherheit seines Browsers investiert. Immerhin ist der IE mit über 70 Prozent Marktanteil der meist genutzte Webbrowser (Zahlen Juni 2008; Quelle: Net Applications (http://marketshare.hitslink.com/)). Features wie ActiveX-Kontrollen auf User-Basis oder die standardmäßige Aktivierung des DEP-Schutzes sind wünschenswert, kommen mit dem IE8 aber reichlich spät.
Fraglich bleibt der Nutzen des Domain-Highlighting und des XSS-Filters. Zwar wird der Filter die Skript-Kiddies eine Zeit lang beschäftigen. Für Giorgio Maone (http://hackademix.net/2008/07/03/noscripts-anti-xss-filters-partially-ported-to-ie8), Programmierer der Firefox-Erweiterung NoScript, ist es dennoch nur eine Frage der Zeit bis sie den Schutz aushebeln. Bleibt abzuwarten wie schnell Microsoft seinen Filter aktualisieren kann, um selbst clever versteckte Skript-Attacken zu entlarven. Schließlich bleibt das Konzept des Informationsbalkens zweifelhaft. Zwar werden die Seiten in einer sicheren Umgebung ausgewertet. Der eingeblendete Balken kann vom User aber leicht übersehen und völlig ignoriert werden. Die Auswirkungen auf die Sicherheit mögen gering sein. Deutlichere Hinweise, wie sie Microsoft mit dem neuen Sicherheitsfilter einführen will, wären aber auch hier sinnvoll.
Download: Internet Explorer 8 Beta (http://www.chip.de/downloads/Internet-Explorer-fuer-Vista_31104886.html)
Quelle: www.chip.de (http://www.fifaplanet.de/www.chip.de)
http://www.chip.de/unabh_dateien/4921368/aufmacher.jpg
Microsoft Internet Explorer 8: Wie sicher wird die neue Browser-Generation von Microsoft?
(http://www.chip.de/ii/grossbild_v2.html?grossbild=177792694_60c6878dc7.j pg&grossbild_bu=%3Cb%3ESicherheitsfilter%20alt%20und% 20neu%3A%3C%2Fb%3E%20Deutlichere%20Dialoge%20warne n%20vor%20sch%26auml%3Bdlichen%20Webseiten%20und%2 0Downloads.&ivwkat=%28%5D317sonstig%2F%28%5D106allg%2FSicherhe it+%26+Viren%2FSicherheit+im+Test&cxo_alphabet_pfad=%28%7Dsonstiges%2F%28%7DTest+%26 +Kaufberatung%2FSicherheit+%26+Viren%2FSicherheit+ im+Test&sales=T%26T_Sicherheit&R2_IR_CONTAINER_ID=32197404&R2_IR_BEITRAG_ID=5268491&R2_IR_LAYOUT_ID=3072&R2_TITEL=Artikel%2520-%2520Preview%253A%2520IE8-Sicherheit&R2_IR_CONTAINER_URL=http%3A%2F%2Fwww.chip.de%2Fart ikel%2FPreview-IE8-Sicherheit_32197404.html) Seit Version 7 ist Microsofts Browser auf dem Sicherheits-Trip. Vista-Nutzer profitieren schon heute von Features wie dem geschützten Modus (Protected Mode). Auch der Phishing-Filter ist ein alter Hut, soll für den neuen Internet Explorer 8 (IE8) aber komplett überholt werden. Microsoft nennt das Feature Sicherheitsfilter (SmartScreen Filter) und erweitert den betagten Phishing-Schutz um deutlichere tiefrote Warnhinweise, Malware-Abwehr und Heuristiken, die bösartige Webseiten selbst dann entlarven sollen, wenn Sie noch nicht auf einer schwarzen Liste stehen (Blacklisting). Außerdem verspricht Microsoft einen ordentlichen Leistungsschub für seinen neuen Filter.
http://www.chip.de/ii/177792693_4b8613a3ae.jpg
Bisher warnt der Phishing-Filter lediglich mit dem Windows-typischen Security-Schildchen und dem Hinweis "Diese Webseite wurde als unsichere Webseite gemeldet". Ab der zweiten Beta-Version des IE8 werden Meldungen des Sicherheitsfilters einen tiefroten Hintergrund erhalten. Ein deutlich hervorgehobener Satz fordert den Nutzer zur Rückkehr auf seine Startseite auf. Zusätzlich halten heuristische Methoden im Hintergrund Ausschau nach verdächtigen Webseiten. Selbst wenn so eine Seite nicht auf einer Blacklist steht, meldet sich der Sicherheitsfilter und fordert den Nutzer auf, potenziell unsichere Seiten zu melden (siehe Fotostrecke (http://www.chip.de/bildergalerie/Internet-Explorer-8-Die-neuen-Sicherheits-Features-Galerie_32204537.html)). Außerdem überwacht der Filter künftig Ihre Downloads. Handelt es sich dabei um eine gemeldete Datei oder ist dem Browser der Server als gefährlich bekannt, verhindert der Sicherheitsfilter den Download.
ActiveX-Verbesserungen
Erweiterungen für den Internet-Explorer, die ActiveX-Steuerelemente, lassen sich bald von einzelnen Nutzern individuell und ohne Administrator-Rechte (UAC) installieren. Dadurch können Nutzer unabhängig voneinander genau die Komponenten installieren, die sie für ihre tägliche Arbeit benötigen. Per Klick auf den Informationsbalken wählt der Anwender (abhängig von seinen Rechten), ob ein Inhalt nur für sein Konto oder das gesamte System installiert werden soll. Ein schädliches ActiveX-Element erhält im Zweifelsfall nur Zugriff auf die Rechte des momentanen Nutzers. Das restliche System bleibt unberührt.
http://www.chip.de/ii/177792702_c1b7c9a670.jpg
Neben einzelnen Nutzern können ActiveX-Inhalte auch auf ganze Internet-Angebote beschränkt werden. Ein Eintrag in die Registrierung genügt und Flash-Inhalte werden zum Beispiel nur auf youtube.com wiedergeben, auf allen anderen Seiten aber nicht. Der Anwender kann sie bei Bedarf mit einem Klick auf den Informationsbalken dennoch zuzulassen, sofern er über ausreichende Rechte verfügt.
Für ActiveX-Kontrollen, die sich erst später als angreifbar herausstellen, führt Microsoft die "Pille danach" ein. Anbieter der betreffenden Erweiterung können Microsoft bitten, ein "Killbit" mit den automatischen Updates zu verteilen. Die Erweiterung wird darauf mit dem nächsten Update gestoppt.
(http://www.chip.de/ii/grossbild_v2.html?grossbild=177792697_59f0fc085d.p ng&grossbild_bu=%3Cb%3ESpeicherschutz%3A%3C%2Fb%3E%20 In%20der%20kommenden%20IE-Version%20standardm%26auml%3B%26szlig%3Big%20aktiv .&ivwkat=%28%5D317sonstig%2F%28%5D106allg%2FSicherhe it+%26+Viren%2FSicherheit+im+Test&cxo_alphabet_pfad=%28%7Dsonstiges%2F%28%7DTest+%26 +Kaufberatung%2FSicherheit+%26+Viren%2FSicherheit+ im+Test&sales=T%26T_Sicherheit&R2_IR_CONTAINER_ID=32197404&R2_IR_BEITRAG_ID=5268491&R2_IR_LAYOUT_ID=3072&R2_TITEL=Artikel%2520-%2520Preview%253A%2520IE8-Sicherheit&R2_IR_CONTAINER_URL=http%3A%2F%2Fwww.chip.de%2Fart ikel%2FPreview-IE8-Sicherheit_32197404.html) DEP und Domain-Highlighting
Die Data Execution Prevention (Datenausführungsverhinderung, DEP) ist eine Schutzfunktion, die das Ausführen von schädlichem Code im Arbeitsspeicher verhindern kann. DEP zusammen mit Vistas Adress Space Layout Randomization (ASLR (http://blogs.msdn.com/michael_howard/archive/2006/05/26/608315.aspx)), die den Speicherbereich von Anwendungen beim Start zufällig vergibt, soll Speicherüberläufe und ähnliche Attacken vereiteln. Zwar unterstützt der Internet Explorer die DEP bereits seit Version 7. Durch Kompatibilitätsprobleme mit Erweiterungen war die Funktion bisher aber standardmäßig deaktiviert. Dies soll sich mit dem IE8 ändern.
Schon in der ersten Beta des IE8 ist das Domain-Highlighting zu sehen. Die URL in der Adresszeile des Browsers wird ausgegraut, bis auf die Domain der Seite. Anwender sollen so schneller sehen können, ob sie auf der gewünschten oder einer Phishing-Seite gelandet sind
http://www.chip.de/ii/177792701_3617770dc3.jpg
Filter gegen Cross-Site-Scripting
Cross-Site-Scripting (XSS) stellt eine immer häufiger genutzte Angriffsform dar, mit der Übeltäter Browsersitzungen entführen, Cookies stehlen und Passwort-Eingaben überwachen. Der Angreifer nutzt dabei schlecht überprüfte Benutzereingaben einer Webseite, etwa eines Online-Shops. Ohne Filter können eingeschleuste Skripte zum Browser des Opfers wandern und dort die benötigten Daten stibitzen. Microsofts neuer XSS-Filter soll dies beim IE8 verhindern. Eine Meldung im Informationsbalken weist den Benutzer auf mögliche XSS-Attacken hin.
http://www.chip.de/ii/177792703_0bc84227ae.jpg
Was bringen die Maßnahmen?
Es ist erfreulich und ebenso notwendig, dass Microsoft in die Sicherheit seines Browsers investiert. Immerhin ist der IE mit über 70 Prozent Marktanteil der meist genutzte Webbrowser (Zahlen Juni 2008; Quelle: Net Applications (http://marketshare.hitslink.com/)). Features wie ActiveX-Kontrollen auf User-Basis oder die standardmäßige Aktivierung des DEP-Schutzes sind wünschenswert, kommen mit dem IE8 aber reichlich spät.
Fraglich bleibt der Nutzen des Domain-Highlighting und des XSS-Filters. Zwar wird der Filter die Skript-Kiddies eine Zeit lang beschäftigen. Für Giorgio Maone (http://hackademix.net/2008/07/03/noscripts-anti-xss-filters-partially-ported-to-ie8), Programmierer der Firefox-Erweiterung NoScript, ist es dennoch nur eine Frage der Zeit bis sie den Schutz aushebeln. Bleibt abzuwarten wie schnell Microsoft seinen Filter aktualisieren kann, um selbst clever versteckte Skript-Attacken zu entlarven. Schließlich bleibt das Konzept des Informationsbalkens zweifelhaft. Zwar werden die Seiten in einer sicheren Umgebung ausgewertet. Der eingeblendete Balken kann vom User aber leicht übersehen und völlig ignoriert werden. Die Auswirkungen auf die Sicherheit mögen gering sein. Deutlichere Hinweise, wie sie Microsoft mit dem neuen Sicherheitsfilter einführen will, wären aber auch hier sinnvoll.
Download: Internet Explorer 8 Beta (http://www.chip.de/downloads/Internet-Explorer-fuer-Vista_31104886.html)
Quelle: www.chip.de (http://www.fifaplanet.de/www.chip.de)