Microsoft: Edge sarà un browser più sicuro

In un lungo post appena pubblicato sul blog ufficiale dell’azienda, Microsoft spiega che Edge sarà un browser più sicuro.
Edge ha debuttato nelle versioni di anteprima di Windows 10 ma sarà nella release finale che gli utenti potranno saggiare tutte le novità in tema di sicurezza.

Protezione contro il phishing

Come abbiamo spiegato anche nell’articolo Come riconoscere email phishing, i criminali informatici sono sempre più abili nell’allestire siti web che possano trarre in inganno gli utenti facendo loro ritenere di trovarsi sui siti web ufficiali delle banche, dei principali servizi finanziari, di Google o di altri provider e così via (phishing).

Per evitare di correre rischi e digitare le proprie credenziali d’accesso su siti web creati da parte di malintenzionati, il colosso di Redmond punterà su Microsoft Passport, tecnologia che si prefigge come obiettivo primario quello di spazzar via, in un colpo solo, la necessità di ricordare e digitare username e password. Grazie a Passport gli utenti potranno infatti autenticarsi sui servizi online e sui vari siti web semplicemente usando le dita, il volto o l’iride.

Confermata la presenza nel nuovo browser Edge, così come nella stessa shell di Windows 10, di SmartScreen – tecnologia portata al debutto con IE8 che blocca tutti i siti web riconosciuti come truffaldini -.

Il browser Microsoft, inoltre, analizzerà la “reputazione” di ogni certificato digitale utilizzato sui siti web HTTPS con lo scopo di rilevare quelli utilizzati per scimmiottare altre aziende o comunque illecitamente ottenuti od utilizzati. Facendo leva sui Bing Webmaster Tools gli sviluppatori possono segnalare a Microsoft, in qualunque momento, certificati digitali fraudolenti.

Il motore di rendering del browser che debutterà con Windows 10, chiamato EdgeHTML, integra poi alcune misure di sicurezza per proteggere i webmaster da attacchi XSS (Cross-site scripting) ed il supporto per HTTP Strict Transport Security (HSTS). Quest’ultimo meccanismo consente ai gestori di siti web HTTPS di stabilire che i browser web possano utilizzare soltanto connessioni HTTPS sicure e non appoggiarsi a protocolli insicuri (ne abbiamo parlato anche nell’articolo Come attivare HTTPS sul proprio server Linux).

Protezione contro gli attacchi nei confronti del browser

Con il rilascio del browser Edge, Microsoft abbandona definitivamente le ActiveX. Si tratta di una notizia storica perché il supporto delle estensioni in Internet Explorer è sino ad oggi avvenuto solo tramite ActiveX, tecnologia che fu presentata da Microsoft nel lontano 1996.
Microsoft riconosce che portare estensioni di questo tipo nel browser contribuisce ad ampliare notevolmente la superficie d’attacco: una vulnerabilità presente in un ActiveX può essere sfruttata per causare problemi all’intero browser web.
Per questo motivo, Edge non offrirà alcun supporto per VML, VB Script, barre degli strumenti, BHO ed ActiveX. “Il bisogno di utilizzare tali strumenti si è oggi significativamente ridotto grazie alla possibilità di usare JavaScript e HTML5“, spiega Microsoft.

Ciò non significa che non si potrà usare estensioni in Edge. Anzi, stando a quanto rivelato nei giorni scorsi, i tecnici Microsoft starebbero lavorando per rendere Edge compatibile con le estensioni sviluppate per Firefox e Chrome (vedere Il browser Spartan si chiama Microsoft Edge).

I tecnici di Microsoft fanno poi notare che Edge sarà una “universal app“: questo ha un notevole impatto in termini di sicurezza perché l’intera applicazione lavorerà all’interno di una sandbox. Di qualunque pagina web aperta da Edge verrà effettuato il rendering all’interno della sandbox di fatto azzerando la commistione tra materiale caricato da server remoti, browser e sistema operativo.

Sui sistemi a 64 bit, Edge lavorerà interamente a 64 bit potendo così contare sui vantaggi derivanti dalla possibilità di attivare la misura di protezione Windows ASLR in maniera ancora più severa ed efficace. ASLR rappresenta una barriera di protezione nei confronti degli exploit, modificando in maniera casuale la configurazione della memoria virtuale all’interno dei processi, bloccando l’esecuzione di codice proveniente da zone di memoria non specificatamente marcate come eseguibili, e rendendo perciò molto difficile il lavoro ad eventuali codici dannosi.
Utilizzando un sistema a 64 bit, Windows ha a disposizione uno spazio di indirizzamento enormemente più ampio rispetto al caso 32 bit rendendo così ancora più difficile per un componente nocivo attaccare le aree di memoria contenenti i dati sensibili.

Edge, inoltre, sarà in grado di bloccare quegli attacchi che sono basati sull’invio di informazioni che il programma non riesce ad elaborare correttamente. Queste aggressioni, che spesso conducono all’esecuzione di codice dannoso – sempre secondo Microsoft – saranno molto più difficili da condurre con successo.

Dal punto di vista delle funzionalità, avevamo presentato le novità di Edge (ex “Progetto Spartan”) nell’articolo Browser Spartan che cos’è e quali sono le novità.