IE10 - A che punto siamo con la sicurezza?

[rebelia]

Buongiorno a tutti

Avete già provato IE10? E a sicurezza che ve ne sembra?

Le ultime release di Internet Explorer sotto questo aspetto sono migliorate molto e in particolare Internet Explorer 10 include diverse funzionalità appositamente pensate a tale scopo:

• SmartScreen per difendersi dal phishing
• Enhanced Protected Mode: una sandbox che limita i danni derivanti da attacchi provenienti da malware
• ForceASLR: utile per rendere la vita difficile a exploit appositamente scritti per attaccare IE

Tutte queste funzionalità (presenti già in IE9 ma migliorate rispetto al predecessore) ne fanno un browser davvero sicuro oppure i rivali Chrome e Firefox sono ancora una spanna avanti a Internet Explorer?

A voi la parola!

[franzauker2.0]

Di sicuro IE10 è venti passi avanti agli altri, da ogni punto di vista

[MItaly]

Originariamente inviato da rebelia
SmartScreen per difendersi dal phishing

Questa è la solita blacklist/whitelist per siti pericolosi, nulla di particolarmente rilevante dal punto di vista tecnico; tutto dipende da come viene gestita. Voci di corridoio (=cose lette in giro senza fonte certa) dicono che è più completa/aggiornata più in fretta della lista di Google che viene usata da Chrome e Firefox (che sotto questo aspetto sono equivalenti).

Enhanced Protected Mode: una sandbox che limita i danni derivanti da attacchi provenienti da malware

... che su Windows 7 e 2008 Server fa poco-niente, dato che si limita ad eseguire i content-processes a 64 bit:

In the upcoming Internet Explorer 10 on Windows 7 and Windows Server 2008R2, the only thing that enabling Enhanced Protected Mode does is turn on 64bit Content Processes

all Content Processes will run at 64bit (on Win64), which means that they benefit from the improved security provided in 64bit

(link)
ora, a me non è chiaro dove stia la "improved security provided in 64bit" - una cosa che viene garantita su architettura AMD64 è la presenza del "bit NX" (o DEP, come lo chiama Microsoft) per marcare aree di memoria (tipicamente lo stack) come non eseguibili, ma questa roba è disponibile anche per i processi a 32 bit se è supportata dal sistema (cosa supportata a partire da XP SP2 su praticamente ogni processore prodotto negli ultimi 10+ anni). DEP comunque è abilitata a partire da IE8 (in IE7 era disabilitata per motivi di retrocompatibilità).
L'unico altro vantaggio che mi viene in mente è per l'ASLR - in uno spazio di indirizzi a 64 bit c'è molto più spazio per "sparpagliare in giro" in maniera casuale i moduli caricati, motivo per cui non si dovrebbero avere i tipici problemi dell'ASLR in processi a 32 bit in caso di alto consumo di memoria (=se non c'è spazio nello spazio di indirizzi per forza di cose finisce che i moduli caricati vengono "ammucchiati" tutti assieme).

Su Windows 8, invece, ci sono effettivamente dei vantaggi, dato che i content processes vengono eseguiti in sandbox realizzate a livello di sistema operativo; queste, essendo gestite da lato kernel, si spera siano più robuste di implementazioni in userspace, specialmente visto che dovrebbero essere le stesse sandbox in cui girano le applicazioni Metro (o Modern o come vanno chiamate adesso).

ForceASLR: utile per rendere la vita difficile a exploit appositamente scritti per attaccare IE

Ovvero, viene abilitato "a forza" l'ASLR (caratteristica fornita dal sistema operativo almeno dai tempi di Vista su Windows) anche per i moduli che non lo richiedono esplicitamente; hanno quindi deciso di sacrificare un minimo di retrocompatibilità fornendo più sicurezza di default.

In ogni caso, mi pare che questi miglioramenti di sicurezza, più che essere improvement particolari di IE10, siano semplicemente scelte di default più "sani" per sfruttare caratteristiche che il sistema operativo mette a disposizione; in altri termini, sicuramente migliorano la sicurezza, ma non credo che daranno un vantaggio netto a IE, dato che sono caratteristiche che anche gli altri browser possono tranquillamente sfruttare (anche se forse in maniera più complessa, dato che devono mantenere dei sorgenti cross-platform).
In effetti, da quanto ne so, Chrome e Firefox usano DEP e ASLR da un certo numero di versioni, se disponibili (e leggevo in Firefox che stavano lavorando ad una specie di ALSR "homemade" disponibile per qualunque versione di Windows).

[Habanero]

Che dire... gli interventi di MItaly sono sempre preziosi e illuminanti.