Microsoft ha spiegato le misure di sicurezza adottate per rendere il browser Edge più sicuro di Internet Explorer.
Uno degli aspetti su cui Microsoft non può proprio mirare al ribasso con il nuovobrowser Edge è la sicurezza. In un Web sempre più complesso, popolato e pieno di insidie il software di navigazione può rappresentare una prima barriera importante per proteggere sia i neofiti che l’utente esperto.
L’azienda ha parlato di alcune delle misure su cui sta lavorando per fare di Edge un browser al passo con i tempi. In unlungo post sul proprio blogMicrosoft ha parlato di sandbox, compiler e tecniche di gestione della memoria sviluppate in “stretta partnership con Windows”.
Uno dei modi più comuni per attaccare un utente su Internet è ilphishing, ossia convincere un utente a inserire dati personali e password all’interno di una versione falsa di un sito web del quale si fida. Ad esempio c’è chi ha realizzato versioni false del sito delle Poste Italiane, e sono molti a cascarci cliccando sul link contenuto in una email scritta ad hoc.
“I tentativi di identificare i siti web legittimi, attraverso il simbolo del lucchetto HTTPS e più di recente la barra verde EV Cert hanno ottenuto un successo limitato. […] Per difendersi davvero bisognarimuovere la necessità per gli utenti di inserire password in testo esplicito sui siti. Windows 10 fornisce la tecnologiaMicrosoft Passport con crittografia asimmetricaper autenticarvi ai vostri siti. Windows 10 offrirà anche un modo conveniente per sbloccare il vostro dispositivo e farvi accedere al vostro Microsoft Passport”, scrive Microsoft.
Microsoft SmartScreen, originariamente introdotta con Internet Explorer 8, è supportatada Microsoft Edge e da Windows 10 Shell. SmartScreen difende gli utenti dal phishing effettuando uncontrollo sulla reputazione dei siti e bloccando quelli che ritiene siano malevoli. Allo stesso modo questa tecnologia impedisce di scaricare e installare software “a rischio”.
Vi sono inoltre siti pericolosi che usanocertificati ottenuti impropriamente o in modo fraudolento, facendosi passare per siti legittimi. “Lo scorso anno abbiamo annunciato Certificate Reputation, e recentemente abbiamo esteso questo sistema permettendo agli sviluppatori web di usare il report Bing Webmaster Tools per allertarci direttamente dell’esistenza di certificati fraudolenti”.
Il nuovo browser ha anche un nuovo motore di rendering, Microsoft EdgeHTML, pensato per gli standard moderni. È dotato di nuove caratteristiche di sicurezza che fanno parte degli standard W3C e IETF. Con Edge Microsoft ha anche operato una profonda revisione della rappresentazione DOM nella memoria del browser, rendendo il codice del browser più resistente alle intrusioni.
Comeanticipato nei giorni scorsi, la casa di Redmond ha chiuso i ponti con VML, VB Script, Toolbars, BHOs o ActiveX, estensioni non più necessarie e insicure, abbracciando pienamente le caratteristiche di HMTL5. “Il cambiamento più grande nella sicurezza di Edgeè che il nuovo browser è una Universal Windows app”.
Questo fa sì che tutto sia all’interno di sandbox. “Ogni pagina Internet che Edge visita sarà renderizzata all’interno di un container”, specifica l’azienda.Microsoft Edge inoltre è a 64 bit, non solo di default, ma tutte le volte che opera su un processore a 64 bit.
Questo permetterà di rendere Windows ASLR (Address Space Layout Randomization) ancora più resistente agli attacchi e ai tentativi di iniettare codice maligno. Infine Microsoft ha lavorato su diverse soluzioni permitigare attacchi memory corruption, una classe di vulnerabilità molto comune.
