Novos Recursos de Segurança do Internet Explorer 8
A Microsoft divulgou ontem publicamente o Beta 1 do Internet Explorer 8 (baixe ele aqui). Esta é uma versão de testes ainda bastante preliminar, e o seu principal objetivo é permitir que desenvolvedores possam já testá-lo com os seus sites e apontar problemas na visualização de páginas. Por isso muito da divulgação trata da conformidade com o teste ACID2, os test cases de CSS, e outros recursos do tipo.
Mas esta versão preliminar já permite ver alguns dos novos recursos de segurança implementados pelo IE8. A primeira diferença está logo na barra de endereços - o domain highlighting:
O IE8 deixa apenas o nome do domínio sendo acessado em iluminação normal, colocando o resto da URL em tom acinzentado. Isto permite que o usuário veja com mais clareza o domínio que ele está realmente acessando, tornando mais difícil para alguns sites maliciosos iludir o usuário a pensar que estão em outro domínio.
Outro novo recurso do IE8 é a restrição do uso de controles ActiveX para sites ou domínios específicos. Nas versões anteriores do Internet Explorer, quando um controle Active X era instalado por um site ele ficava automaticamente disponível para ser executado por qualquer outro site. Isto é ótimo por exemplo para controles genéricos como o Flash, que é instalado pelo site da Adobe e depois pode ser usado em todos os sites.
Mas em alguns casos isto não é desejável, e pode se tornar até um risco de segurança. Por exemplo, um banco pode escrever um controle ActiveX para validar o computador do usuário, mas certamente não vai querer que este controle seja usado também por um site malicioso para fazer a mesma validação. Para proteger contra este tipo de situação, a única solução era o desenvolvedor implementar no código do seu controle ActiveX uma proteção como o SiteLock.
O Internet Explorer 8 traz agora o recurso de restringir o uso de um controle ActiveX apenas para alguns sites específicos. Isto pode ser especificado pelo desenvolvedor e também controlado pelo usuário:
[Observação: este recurso ainda não está totalmente implementado na versão Beta 1]
Outro novo recurso é o Safety Filter. O Internet Explorer 7 continha o recurso Phishing Filter, que verificava o nome de domínio sendo acessado contra uma lista de sites que foram reportados como sendo phishing - isto é, sites maliciosos que tentavam se passar como sites legítimos e iludiam usuários a fornecer informação pessoal. O Safety Filterleva isso além e bloqueia agora também sites Web que tentam instalar malware (trojans, etc.) no computador do usuário.
Isto é uma mudança mais radical do que pode parecer em um primeiro momento. Enquanto construir uma lista de sites de phishing depende em grande parte de alguma pessoa reportar e outra validar que se trata de um site malicioso, monstar uma lista de sites que instalam malware é uma tarefa basicamente automatizada. Robôs de busca como os do Live Search podem varrer a Internet e em conjunto com engines de antivirus detectar e bloquear automaticamente as páginas consideradas perigosas.
Além disso, ao contrário do Phishing Filter do IE7, o Safety Filter verifica todas as URLs (não só paginas Web) e permite o bloqueio de downloads considerados nocivos. Se você lembrar que a maioria das fraudes de Internet aqui no Brasil são feitas a partir do download de um trojan, este recurso pode se tornar uma das principais armas para combatê-las.
O Internet Explorer Beta 1 é ainda uma versão bem preliminar, e eu recomendo a sua instalação somente em um equipamento de teste ou máquina virtual. Para o uso diário é melhor esperar uma versão mais próxima do lançamento. Para fornecer feedback sobre esta versão, e em especial sobre os novos recursos de segurança, consulte o blog do time do IE ou deixe o seu relato no grupo de discussão.
UPDATE - E uma novidade especial para o VP: o IE 8 abre por default até seis conexões simultâneas, ao invés de duas como nas versões anteriores.
OUTRO UPDATE - O blog do time do IE descreve em mais profundidade o domain highlighting.