|
|
|||||||||||||||||||||||||||||
|
Хитрости IE8: URL-строка как защитаИсточник: Cnews
Адресная строка современного браузера - это нечто большее, чем поле для ввода URL, она предполагает удобный поиск по уже посещенным сайтам, работу с закладками и многое другое. В Internet Explorer 8, кроме того, адресная строка помогает бороться с фишингом и прочими нежелательными для посещения сайтами. Усовершенствования адресной строки Internet Explorer 8, которая в этом браузере называется Smart Adress Bar, можно разбить на 2 большие группы. Первая - приспособления для борьбы с фишингом, вторая - инструменты для автозавершения ввода URL. Каждой из групп требует внимательного и подробного разбора. Борьба с фишингомФишинговые сайты представляют опасность для обычного пользователя тем, что они выполнены как точные клоны известных или важных сайтов (например, часто подделываются страницы авторизаций почтовых серверов, интернет-банкинга, социальных сетей) и зарегистрированы на домене, который при первом взгляде очень сложно отличить от оригинала. Если пользователь примет его за легальный сайт и введет в поддельные формы свои личные данные, последние попадут в руки злоумышленников. Главный элемент IE8, отвечающий за борьбу с фишингом, это функция Smart Screen Filter. После ввода URL в адресную строку IE8 сверяет адрес указанного сайта со специальной постоянно обновляемой базой данных и выявляет вредоносные сайты-"клоны", заблаговременно предупреждая пользователя об опасности. Данный способ защиты получил в IE8 название Social Engineering Defenses. IE8 использует разную подсветку адреса в строке URL для различения сайтов Кроме того, в борьбе с фишинговыми сайтами задействованы и другие методы. Так, IE8 выделяет доменное имя жирным шрифтом, остальную часть адреса, оставляя серой. Это позволяет пользователю визуально оценить степень надежности ресурса, и быстро отличать обычный paypal.com от какого-нибудь paypal.phishing.co.uk. IE8 предупреждает о безопасности перехода на сайт Кроме того, в IE8 значительно улучшена обработка страниц со смешанным содержанием - когда на защищенной HTTPS-странице указывается ссылка для перехода на незащищенный ресурс. На протяжении уже нескольких лет это является одним из слабых мест браузера, поскольку злоумышленники могут изменить передаваемые данные "на лету" в момент, когда пользователь покидает защищенное соединение. Кроме того, с помощью специальных вредоносных скриптов можно получить доступ к информации, которая обрабатывалась в ходе HTTPS-сессии. Подобные угрозы актуальны и для тех, кто часто использует незащищенные подключения к сети (например, Wi-Fi без шифрования), что увеличивает риск подмены DNS при работе с браузером. Способ защиты от подобных неприятностей - блокировка незащищенного содержимого на странице - не всегда качественно реализован в современных браузерах. IE8 уверенно обрабатывает смешанное содержание на странице Типичная реализация выглядит так - перед выходом из HTTPS-сессии пользователю показывается запрос о том, что следующая страница содержит смешанное содержание (защищенное и незащищенное) и предлагается выбрать, показывать или нет незащищенный код. В IE8 это окно содержит вопрос о том, желает ли пользователь показать те фрагменты кода страницы, которые были получены через защищенное соединение, или нет. Такое решение выглядит более надежным с точки зрения информационной безопасности и более удобным в плане юзабилити. АвтозаполнениеВторое полезное новшество адресной строки - это автозаполнение вводимого адреса на основе уже посещенных сайтов. При вводе какого-либо адреса Internet Explorer 8 показывает пользователю подсказку в виде выпадающего списка вариантов, подобранных не только по соответствию URL, но и по схожести заголовка c вводимым вариантом. Таким образом, для перехода на нужный сайт достаточно ввести несколько слов из его заголовка. Если заголовок сайта русский, можно вводить слова по-русски При этом выпадающий список организован достаточно необычным, но удобным образом: предлагаемые сайты разбиты на 2 отдельные группы - Typed Address, Autocomplete Suggestion, History, Favorites и Feeds, не считая подраздела Keyboard Shortcuts, демонстрирующего доступные сочетания "горячих клавиш" для перехода на избранные страницы. IE8 получил переработанный и улучшенный журнал работы В группу Typed Address (введенные URL-адреса страниц) относятся те страницы, URL которых пользователь когда-либо вводил самостоятельно; список этой группы ограничен пятью сайтами, расположенными по алфавиту. Двухбуквенная проблема Между тем, в IE8 остался унаследованный с предыдущих версий недочет системы работы адресной строки. Так, еще во времена шестой и седьмой версии IE существовала проблема работоспособности cookies на доменах, имя которых состоит из двух букв. Связана она была с тем ограничением, что в некоторых странах (скажем, в Великобритании или Японии) двухбуквенные домены второго уровня используются в качестве идентификаторов для доменных имен третьего уровня, и значимым является именно третий уровень - например, bbc.co.uk. При этом co.uk остается единым доменом для всех британских сайтов; таким образом, если в данном случае привязать cookie к имени домена co.uk, то все британские сайты будут работать с данным конкретным cookie, что недопустимо. В IE6 и IE7 по этой причине была полностью отключена официально документированная возможность использования cookie на двухбуквенных доменах (тем не менее, запрет можно было обойти через правку системного реестра). С выходом IE8 ситуация осталась на том же уровне: браузер так и не начал воспринимать cookies с двухбуквенных доменов, и это средствами Windows обойти никак нельзя. Впрочем, Microsoft об этой проблеме знает и готовит меры по ее полному устранению. К группе Autocomplete Suggestion (автозавершение запроса) относятся ссылки на сайты, которые IE8 считает уместным для данного запроса пользователя. Определяется они достаточно сложным образом: IE8 просматривает список посещенных пользователем сайтов (History), папку "Избранное" и Feeds (веб-каналы), сравнивая как URL сайтов, так и их заголовки, и оценивает, какой из результатов наиболее подходит для данного случая. При этом учитывается множество параметров - вплоть до того, как часто пользователь заходил на этот сайт - и приоритетными являются сайты из раздела History. Для быстрого перехода на предлагаемую страницу используется сочетание Shift+Enter. Разделы History, Favourites и Feeds заполняются схожим образом, и главным их отличием является "суженная" область поиска - в пределах посещенных страниц, "Избранного" и веб-каналов соответственно. Для раздела "Избранное", впрочем, поиск работает более тонко - так, учитывается даже название папки с закладками: в случае совпадения ее названия с запросом пользователя ему будет показано содержимое этой папки. Схожим образом работает и строка поиска, хотя на месте Keyboard Shortcuts там выводится меню Quickpick. Таким образом, Microsoft удалось преобразить привычную адресную строку в практичный и удобный инструмент для экономии времени при вводе страницы. Ее можно вводить как угодно - или через заголовок, или через URL - и при этом быть уверенным, что Internet Explorer 8 предложит нужный вариант из имеющихся у него в наличии. Ссылки по теме
|
|