By: mk 
on 12 May 2015 - 07:50
Tags:
ต่อเนื่องจากข่าว ล้างบ้าน Microsoft Edge จะไม่รองรับ ActiveX, VBSript, VML ไมโครซอฟท์ออกมาเผยฟีเจอร์ด้านความปลอดภัยของ Microsoft Edge โดยแยกออกเป็น 3 กลุ่มคือ ป้องกันปัญหา phishing (โดนหลอก), ป้องกันการถูกแฮ็ก (ไม่โดนหลอกแต่อยู่เฉยๆ ก็โดนโจมตี) และป้องกันปัญหาด้านหน่วยความจำ
ป้องกันปัญหา phishing
- รองรับ Microsoft Passport ช่วยยืนยันตัวตนแทนการใช้รหัสผ่าน
- ตัวกรองเว็บอันตราย SmartScreen จะถูกใช้งานกับทั้ง Microsoft Edge และ Windows Shell ป้องกันทั้งการเข้าเว็บอันตรายและดาวน์โหลดไฟล์อันตราย
- รองรับ Certificate Reputation ช่วยเช็คความน่าเชื่อถือของใบรับรองดิจิทัลอีกชั้น นอกจากการเช็คว่าเว็บนั้นถูกเข้ารหัส (กุญแจเขียว) เพียงอย่างเดียว
-
รองรับมาตรฐานเว็บ Content Security Policy ลดการโจมตีจาก XSS และรองรับ HTTP Strict Transport Security บังคับเบราว์เซอร์เชื่อมต่อแบบเข้ารหัสเสมอ
ป้องกันการถูกแฮ็ก
-
ยกเลิกระบบส่วนเสริมของเบราว์เซอร์แบบเดิมๆ ทั้ง VBScript, ActiveX, VML, Toolbar ตามข่าวเก่า, เปลี่ยนมาใช้ส่วนเสริมแบบใหม่ที่เป็น HTML5
- Microsoft Edge เองเป็นแอพแบบ Universal ที่ใช้ระบบความปลอดภัยแบบแอพใน Windows Store ต่างจาก IE ที่เป็นแอพ Win32 แบบเดิมที่เข้าถึงระบบปฏิบัติการได้มากกว่า
- Microsoft Edge จะทำงานในโหมด Sandbox ผ่าน App Container เป็นค่าดีฟอลต์ ดังนั้นต่อให้ถูกแฮ็กได้ ก็จะจำกัดความเสียหายแค่ไหน Sandbox เท่านั้น (IE ทำงานในโหมด Sandbox โดยดีฟอลต์เฉพาะเวอร์ชัน Metro เท่านั้น)
- Microsoft Edge คอมไพล์แบบ 64 บิต ดังนั้นการสุ่มตำแหน่งในหน่วยความจำ (Address Space Layout Randomization) ก็มีโอกาสกระจายตัวสูงขึ้น ลดความเสี่ยงจากการถูกแกะหน่วยความจำตรงๆ ลงได้
ป้องกันปัญหาหน่วยความจำ (Memory Corruption)
- ใช้เทคนิค MemGC (Memory Garbage Collector) ลดความเสี่ยงจากการดึงข้อมูลหลังคืนหน่วยความจำ โดยจะคืนหน่วยความจำเฉพาะก้อนที่ไม่ถูกอ้างถึง (no more references) แล้วเท่านั้น
- CFG (Control Flow Guard) เทคโนโลยีจาก Visual Studio ช่วยตรวจสอบและจำกัดการกระโดด (jump) เปลี่ยนตำแหน่งของพอยเตอร์ให้ปลอดภัยกว่าเดิม
นอกจากเทคนิคข้างต้นแล้ว ไมโครซอฟท์ยังเปิดโครงการ Windows 10 Technical Preview Browser Bug Bounty เพื่อเชิญให้ผู้เชี่ยวชาญด้านความปลอดภัยนอกบริษัท มาช่วยกันค้นหารูรั่วเพื่อแลกกับเงินรางวัลอีกด้วย
ที่มา - Microsoft Edge Dev Blog
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Cloudnone
- AWS มาไทย ย้ายเลยดีไหม อะไรยังมาไม่ครบบ้าง? | Cloudnone Ep. 23
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
Comments
เอาอีกแล้ว ชื่อยาวๆ
Windows 10 Technical Preview Browser Bug Bounty
ฮ่าๆ
เข้าเรื่อง
น่าลุ้นและน่าติดตามมากๆ ครับ ตอนนี้ขอให้ Win 10 นิ่งกว่านี้อีกนิดนึง เดี๋ยวตามไปแน่นอน
ว้าวฟังแล้วอยากลองใช้ตัวเต็มเร็ว ๆนี้
ทำไมฟีเจอร์เรื่อง phishing มันดู proprietary ยังไงก็ไม่รู้
ตอนเป็น IE รูรั่วเยอะ (ได้ที่ 1 เรื่องช่องโหว่ 2014) ตอนนี้เน้มไปทางเรื่อง ความปลอดภัย เป็นหลัก
• ยกเลิกระบบส่วนเสริมของเบราว์เซอร์แบบเดิมๆ ทั้ง VBScript, ActiveX, VML, Toolbar ตามข่าวเก่า, เปลี่ยนมาใช้ส่วนเสริมแบบใหม่ที่เป็น HTML5
=-=-=-=-=-=
เกมส์ออนไลน์ในไทยได้ปรับตัวหลายเจ้า + ได้เขาผ่าน exe กันแน่นอน
IE เดิมก็ยังอยู่ครับ อันนี้แยกเป็นอีก browser นึง
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
สงสัยจะกินแรมชนะ chrome แน่ๆ
ยากส์ครับ ผมว่า ใครก็ชนะโครมเรื่องนั้นไม่ได้หรอก เพราะมันมีปัญหาความจำรั่วด้วย