5. Killbit和Phoneix Bit

Killbit是注冊表標(biāo)志，告訴IE及其組件不要加載具有指定CLSID的控件。微軟通常會(huì)對存在安全隱患的控件或者那些因?yàn)槟撤N原因而不應(yīng)當(dāng)加載到瀏覽器內(nèi)部的控件發(fā)出killbit。第三方也將這一機(jī)制用于安全和結(jié)束支持目的。

Killbit是一種阻止加載控件的有效方法，但可能會(huì)導(dǎo)致與已有內(nèi)容的兼容性問題(例如，燒錄到DVD上的HTML)。為了降低killbit的兼容性影響，設(shè)計(jì)了Phoneix Bit。在請求一個(gè)帶有killbit CLSID的控件時(shí)，這些標(biāo)志將該請求發(fā)送到一個(gè)替代CLSID，從而可以有效地用新控件來代碼舊控件，保持與已有內(nèi)容的兼容性。

注意：

我最初以為Phoneix Bit是根據(jù)亞利桑那州的首府來命名的，后來才知道它們是根據(jù)腓尼基、埃及和希臘神話中的一種鳥來命名的。

6. 兼容性警告

對那些已知會(huì)導(dǎo)致IE掛起或崩潰的加載項(xiàng)，可以使用兼容性警告來阻止。這些加載項(xiàng)也許不能被攻擊，但加載它們可能導(dǎo)致安全漏洞或影響用戶的瀏覽體驗(yàn)。為了對抗這些類型的加載項(xiàng)，IE在啟動(dòng)時(shí)會(huì)禁用那些已知的不兼容加載項(xiàng)，并通過一個(gè)模式對話框來通知用戶。

1.7.4  隱私和社會(huì)工程保護(hù)

并不是所有的攻擊者都是精通技術(shù)的黑客；其中一些只是試圖誘導(dǎo)用戶做出錯(cuò)誤的信任決定。IE采取了很多措施，通過使用用戶界面通知、文件和下載阻止、隱藏限制和客戶端腳本保護(hù)，以緩解針對用戶采取的社會(huì)工程攻擊。

1. 窗口和框架限制

為了保護(hù)用戶免受用戶界面欺騙，禁止腳本執(zhí)行一些可能會(huì)欺騙用戶以及傷害瀏覽器、數(shù)據(jù)和系統(tǒng)總體完整性的操作。例如，腳本不能關(guān)閉狀態(tài)欄或地址欄，在瀏覽器用戶界面上方彈出窗口(例如地址欄)，或者將窗口放置在屏幕外。

2. 惡意軟件和釣魚篩選器

在從Internet區(qū)域加載頁面或者下載文件時(shí)，IE將它的URL發(fā)送到自己的SmartScreen服務(wù)，以查看其中是否有已知的釣魚網(wǎng)站和惡意軟件。在頁面加載場景中，如果查找到該頁面，將會(huì)給出一個(gè)阻止頁面；而下載時(shí)，將會(huì)通過“不安全下載”對話框來阻止該文件(見圖1-26)。

圖1-26  SmartScreen阻止網(wǎng)站和下載警告

在每一種情況下，用戶都可以忽略IE的建議，不過要忽略這些建議需要另外付出一點(diǎn)工作量，通過“組策略”可以禁用忽略。在IE 8中，沒有公開的API可以用來訪問SmartScreen篩選器結(jié)果。

3. 隱私首選項(xiàng)平臺(tái)

W3C中的隱私首選項(xiàng)平臺(tái)(P3P)是一種選擇加入方法，用于將網(wǎng)站cookie策略與用戶或組織的隱私要求相匹配。從本質(zhì)上來看，P3P是一種隱私策略的XML版本，這種隱私策略在很多軟件中都是存在的，但它只涉及一個(gè)網(wǎng)站通過cookie來使用個(gè)人可識(shí)別信息(PII)的方式與位置。如果一個(gè)用戶或組織為網(wǎng)站實(shí)施了P3P要求，如果所訪問網(wǎng)站返回的P3P XML與這些要求沖突，就會(huì)阻止這些沖突cookie。這些設(shè)置是根據(jù)區(qū)域設(shè)定的。

cookie的加載項(xiàng)應(yīng)當(dāng)通過InternetSetCookieEx()API進(jìn)行修改；這種修改方法確保能夠遵循在系統(tǒng)中所發(fā)現(xiàn)的P3P設(shè)置。

4.  彈出窗口阻止程序

到了Windows XP SP2上的IE 6，瀏覽器就包含了一種機(jī)制，用于防止從Internet區(qū)域頁面打開那些不是由用戶初始化的彈出窗口。IE使用一種專用算法來確定哪些彈出窗口允許打開，哪些不允許打開。用戶和開發(fā)人員可以在一個(gè)例外列表中添加或刪除站點(diǎn)。這一功能本身是使用URLAction或功能控制鍵來切換的。