![Page 1: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/1.jpg)
Internet Explorer 8.0:Architettura e funzionalità di sicurezza
Renato Francesco Giorgini Evangelist IT Pro
![Page 2: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/2.jpg)
AgendaArchitettura
Internet Explorer Protected ModeLoosely-Coupled IE
Gestione ActiveX
Funzionalità Anti-malware, anti-phishingSmartScreen FilterCross Site Scripting (XSS) Filter
Protezione privacy utenteInPrivate BrowsingInPrivate Filtering
![Page 3: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/3.jpg)
Per quali piattaforme è disponibile IE 8?Sistemi Operativi Client:
Windows XP (SP2, SP3)Windows Vista (SP1, SP2)Windows 7
Sistemi Operativi Server:Windows Server 2003 (SP2)Windows Server 2008 (SP1, SP2)Windows Server 2008 R2
![Page 4: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/4.jpg)
Architettura di Internet Explorer 8.0
![Page 5: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/5.jpg)
Integrity Levels :Windows Vista, Windows 7
System High Medium LowLocal
SystemLocal Service
NetworkService
Elevated(Admin) tokens
LUA (User) tokens
AuthenticatedUsers
World(Everyone)
Shell, Desktop e Applicazioni Utente
Se non specificato, il livello di default degli oggetti viene considerato Medium
Privilegi Amministrativi Internet Explorer 7/8
![Page 6: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/6.jpg)
Internet Explorer 8 in Protected Mode
Protected Mode Internet Explorer 8.0
Installazione ActiveX
Impostazioni di sistema
Modifica configurazione
Download FilesMandato
ry Inte
gri
ty C
ontr
ol
Pro
tect
ed
Mode B
roke
r Pro
cess
Redirezione File e Config.Com
pati
bili
ty
Red
irect
or
Navigazione e Cache Web
Admin Rights Access
User Rights Access
Temp Internet Files
HKLM (Registry)
HKCR (Registry)
Program Files
HKCU (Registry)
My Documents
Startup Folder
File e setting potenzialmente non sicuri
Ad
min
B
roke
r Pro
cess
Integrity Level: Low
Integrity Level: Medium
Integrity Level: High
![Page 7: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/7.jpg)
Loosely-Coupled IE
Medium Integrity Level
Protected Mode = OFF
Low Integrity LevelProtected Mode = ON
![Page 9: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/9.jpg)
Address Space Layout Randomization
NTDLL
User32
ExeWindows Server 2003,
Windows XP
Macchina ANTDLL
User32
Exe
User32
Exe
User32
Exe
Windows Server 2003,
Windows XP
Macchina B
Windows Server 2008,
Windows Vista,Windows 7
Macchina A
Windows Server 2008,
Windows Vista,Windows 7
Macchina B
Kernel32NTDLL
Kernel32NTDLL
Kernel32
Kernel32
![Page 10: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/10.jpg)
Data Execution PreventionBlocca l’esecuzione di codice da aree marcate come dati
Sfrutta il non-Execute bit Intel XD bitAMD NX bit
Richiede sistemi a 64 bit o a 32 bit con PAE
DEP e ASLR abilitate insieme per garantiscono la sicurezza massima del sistema
![Page 11: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/11.jpg)
Data Execution ProtectionAbilitata di default in Internet Explorer 8.0
Può essere disabilitata per motivi di compatibilità
![Page 13: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/13.jpg)
Gestione ActiveX
![Page 14: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/14.jpg)
Sicurezza controlli ActiveX
Mitigazione Zero-Day
Attack
ActiveX Killbits
Chi può usare
l’ActiveX?
Per UserActiveX
Attivazione manuale o
automatica?
ActiveX Opt–in
Su quali siti l’ActiveX è utilizzabile?
Per siteActiveX
![Page 16: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/16.jpg)
Funzionalità anti-malware e anti-phishing
![Page 17: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/17.jpg)
Nuova barra indirizziEvidenzia il dominio (o l’Indirizzo IP) del sito in cui stiamo navigando
![Page 18: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/18.jpg)
Extended Validation Certificates, Siti a rischio, Siti noti di Phishing
![Page 19: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/19.jpg)
SmartScreen FilterEvoluzione del filtro Antiphishing di Internet Explorer 7Nuovi strumenti euristici di analisiFunzionalità anti-malwareControllo indirizzo più rapidoGestibile tramite Group PolicyE’ ora possibile segnalare siti malevoli a MS
![Page 20: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/20.jpg)
Database locale URL affidabili
conosciute
Verifica attendibilità siti
URL Reputation Service
![Page 21: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/21.jpg)
Cross Site Scripting (XSS) FilterFiltro euristico, previene l’esecuzione degli scriptPermette di intercettare attacchi Type-1 (reflection)Steal cookies
Log keystrokesDeface sitesSteal credentialsPort-scan the Intranet
Launch CSRF
Steal browser historyAbuse vulnerabilitiesEvade phishing filtersCircumvent HTTPS
![Page 22: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/22.jpg)
ClickJacking ProtectionE’ possibile sfruttare gli IFRAME per creare dei layer sovrapposti
In questo modo l’utente può essere indotto a fare click su link che in realtà appartengono a siti differenti
Le X-FRAME-OPTIONS possono essere usate dai WebDev per evitare che le loro pagine siano richiamate in modo non legittimo
this.Response.Headers["X-FRAME-OPTIONS"] = "DENY";
![Page 23: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/23.jpg)
Demo
{Barra indirizziSmartScreen FilterCross Site Scripting (XSS) FilterClickJacking Protection
}
![Page 24: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/24.jpg)
Mashup SicuriNuove modalità di comunicazione per garantire una sicurezza maggiore nei mashup e nelle applicazioni AJAX
Cross Domain Requests (XDR)Consente di condividere le informazioni tra due domini differenti, consentendo la creazione di trust, la pubblicazione di risorse accessibili anonimamente e la comunicazione sicura
Cross Document Messaging (XDM)HTML5 cross-document messaging feature – Consente a due domini e IFRAME di scambiarsi oggetti in modo sicuro, mantenendo l’isolazione dei Document Object Model
![Page 25: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/25.jpg)
Protezione privacy utente
![Page 26: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/26.jpg)
Cancellazione History - CronologiaControllo più granulare su cosa è cancellabileE’ possibile escludere dalla cancellazione i contenuti dei siti inclusi nei Preferiti – FavoritesCancellazione automatica alla chiusura del browser
![Page 27: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/27.jpg)
InPrivate BrowsingUtile per computer condivisi, Internet PointConsente di navigare senza memorizzare traccie della navigazione sul computer
Cookies (in lettura quelli esistenti, i nuovi sono solo di sessione)History - Cronologia (URL, Search)Form e PasswordTemporary Internet Files
Il cleanup delle informazioni avviene alla chiusura della sessione di “InPrivate Browsing”
27
![Page 28: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/28.jpg)
Cosa avviene navigando…Alcuni provider (es: di Contenuti, di Adv, …) possono tracciare le attività di un utente, sfruttando il fatto che i propri componenti sono richiamati su differenti siti
Tracking Script, Web Bug Images, Special Text, CookiesSito A Sito B Sito C Sito D
Provider Contenuti
![Page 29: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/29.jpg)
InPrivate FilteringMostra all’utente Siti/Provider possono tracciare la sua attivitàConsente all’utente di avere ulteriori informazioniPermette di bloccare Siti e Provider di contenuti specificiConsente di fare la sottoscrizione a liste di contenuti da bloccare
![Page 31: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/31.jpg)
In conclusioneInternet Explorer 8.0 estende l’architettura di sicurezza di Internet Explorer 7.0 con una serie di nuove funzionalità
Windows Vista e Windows 7 sono i due sistemi operativi che sfruttano al meglio la nuova architettura
Le funzionalità Anti-phishing, Anti-malware e di protezione della Privacy assicurano una navigazione più sicura e protetta
In ambito aziendale è possibile personalizzare la configurazione di sicurezza di Internet Explorer 8.0 utilizzando le Group Policy o l’Internet Explorer Administration Kit
![Page 32: Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com](https://reader036.vdocuments.site/reader036/viewer/2022062512/5542eb67497959361e8d2e06/html5/thumbnails/32.jpg)
© 2009 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only.MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.
http://blogs.technet.com/italy