微軟正在建立IE9測試反饋計劃，這個計劃把更多的用戶回饋匯總了起來。目前瀏覽器的市場是硝煙彌漫，各家都有自己的優(yōu)點，并且也存在著自身的缺點。自從微軟展示了自己的IE9之后就有很多人很感興趣并且做了安全測試。下面就是得出的一些安全建議。

沙盒技術(shù)

通過采用一些沙盒技術(shù)(如谷歌Chrome瀏覽器就有這種功能)，微軟可以改善IE9的安全問題。IE9有個類似的“保護模式”，但是設(shè)計初衷卻不是為了安全。TippingPoint安全研究團隊領(lǐng)導(dǎo)Aaron Portnoy表示。

非進程插件

“運行盡可能多的第三方非進程插件，我認為對IE的安全狀態(tài)是大有裨益的。”TippingPoint公司的Portnoy表示：“如果運行進程插件，攻擊者可以利用已知或未知的技術(shù)繞過一種名為減少攻擊(exploit mitigations)的反攻擊技術(shù)而達到目的。DEP(數(shù)據(jù)執(zhí)行保護)和ASLR(地址空間隨機加載)就是這種技術(shù)的范例。”

內(nèi)存地址隨機化

通過將常用功能使用的內(nèi)存地址隨機化，攻擊者就會需要大量的時間識別和重復(fù)利用漏洞代碼，NSS實驗室總裁Rick Moy說。

重定向跳轉(zhuǎn)

“路過式下載(drive-by downloads)利用多次重定向來混淆信譽系統(tǒng)(如IE的SmartScreen和Google的SafeBrowsing)，并將用戶帶到一個無用的頁面，”NSS實驗室的Moy說，“只允許一次的連續(xù)重定向跳轉(zhuǎn)可大大提升信譽系統(tǒng)的有效性。”

內(nèi)容安全策略

有了內(nèi)容安全策略，微軟可以為用戶提供更多的保護，防御跨站點腳本和點閱綁架(Click jacking)攻擊。Mozilla已經(jīng)在其火狐瀏覽器中研究這種功能。

登錄插件

Moy表示他很希望用戶能夠有能力區(qū)分插件的好壞。“代碼散列/白名單技術(shù)與信譽技術(shù)的融合，能夠幫助潛在的用戶了解誰編寫并打包了應(yīng)用程序以及他們的記錄是什么。”他說。

插件的安全API(一種函數(shù))

“瀏覽器在防止插件免受內(nèi)存攻擊方面應(yīng)該起到領(lǐng)頭羊的作用，例如緩沖區(qū)溢出和堆噴劑，”Moy表示，“由此可見，瀏覽器不應(yīng)該提供直接對內(nèi)存的訪問，而應(yīng)該提供安全的API，但是這在降低攻擊面上還有很長的路要走。”

【編輯推薦】

1. IE9渲染引擎的四種模式簡介
2. 五大瀏覽器新一輪大比拼 IE9成績平平
3. IE9借助GPU硬件加速的六大優(yōu)勢
4. 微軟IE9現(xiàn)身 網(wǎng)絡(luò)視頻標準爭議依舊未解
5. 測試：IE9平臺預(yù)覽性能6倍于IE8