對Internet Explorer的批評
此條目可能包含原創研究。 (2014年8月31日) |
此條目需要更新。 (2014年8月31日) |
Internet Explorer是一款招致了許多批評的網頁瀏覽器。大部份批評都集中在其安全架構以及對開放標準的支援程度上。
對其安全性的批評
[編輯]Internet Explorer的安全性已被來自電腦安全研究社群全面審查,部份原因是因為市場被其獨佔。Internet Explorer的安全漏洞已經使得其成為主流瀏覽器中較不安全的一個。
2005年6月20日,安全諮詢網站Secunia列出了 Internet Explorer 6 的20個無修補程式的安全漏洞[1],在每一個安全級別中,絕大部份漏洞存在的時間都比其他瀏覽器的時間長,但其中的一些漏洞只會影響特定版本的 Windows 上的某些 Internet Explorer 或是在與某些其他應用程式結合時才會暴露。
另一安全諮詢網站SecurityFocus列出了存在於Windows XP Service Pack 2的Internet Explorer 6中27個無修補程式安全漏洞[2]。在Windows XP SP2上的早期Windows中存在更多。
2004年6月23日,一個目的在於大公司 IIS 伺服器的攻擊即是通過使用 Internet Explorer中兩個先前未發現的漏洞,藉以在不知情的大量終端使用者的瀏覽器中插入垃圾郵件傳送軟件而成[3][4][5]。該惡意軟件被定名為Download.ject,它會在使用者瀏覽網頁時偷偷電腦中安裝後門以及一個鍵盤擊鍵記錄軟件。被感染的電腦包括許多金融網站。
Art Manion 是美國電腦緊急相應小組(US-CERT)的一名代表,他指出 Internet Explorer 6 SP1 的許多設計使得 Internet Explorer 6 天生就不可能安全,他說道:
“ | 在IE安全區域模組的技術中存在大量嚴重漏洞,本機檔案系統(本機區域)被設計為信任動態HTML(DHTML)文件對象模組(特別的,DHTML所特有的功能)、HTML說明系統、MIME類別定義、圖形使用者介面(GUI)以及ActiveX……另一方面IE又被設計為整合進Windows以至於IE的漏洞經常被黑客當作對作業系統的進行攻擊的一個重要途徑。[6] | ” |
Manion隨後聲名他的講話大部份是相對於2004年發佈 SP2 前的,並且其他瀏覽器也開始在上述CERT檔案中面臨類似的問題[7]。
值得注意的是XP SP2所提供的一些功能對於先前版本的Windows並不可用,它們包括 Windows 9x,NT 和 2000。
另外,一些與Internet Explorer相關的安全漏洞也令需要的Windows使用者突破安全權限。一個例子是,在Windows XP中,預設時系統是不允許普通用戶組(User用戶組)的使用者以管理員組(Administrator用戶組)權限進行特權操作的。但實際上,這種情況下黑客可以執行一個專用程式碼實現對電腦作業系統的完全控制。這種破解行為也將導致任何瀏覽器以不受限的特權狀態執行。對於其他系統普通使用者的日常操作來說,使用超級使用者(Power User用戶組)進行日常操作是不明智的,但攻擊者可以依賴於Windows系統中這個處於不適當級別的瀏覽器處理程序。然而,也有許多Windows中的程式離開管理員特權無法執行或效果變差,所以其他系統中的正常操作可能對於Windows使用者來說是不切實際。
許多的安全分析者指出IE經常爆出嚴重漏洞是因為它獨佔市場份額,所以黑客把其優先作為攻擊目標。然而,也有許多批評指出這種說法是不全面的;Apache網絡伺服器的市場份額比微軟IIS要高,但Apache幾乎沒有安全漏洞,就算有也相較IIS說是很輕微[8] Mundie曾經承認微軟公司的產品「對常態而言是不安全的」而這是因為微軟「設計時更注重功能而非安全」[9]
結果這樣導致許多問題,一些安全專家,包括Bruce Schneier [10]以及開源倡導者David A. Wheeler [11],推薦廣大使用者停止使用Internet Explorer作為日常瀏覽器,而轉換其他瀏覽器作為替代。一些技術專欄作家也建議過類似的話[12] [13]。2004年6月6日,US-CERT發佈的漏洞報告建議立即停止使用IE而該用其他,尤其是訪問非信任網站時更應如此[14]。2004年12月,賓夕法尼亞大學發佈的一篇文章告誡學生和員工馬上丟棄使用IE並改用其他瀏覽器[15]。
組件對象模組
[編輯]許多的IE安全問題皆與組件對象模組(COM)相關。IE通過ActiveX或瀏覽器說明對象(Browser Helper Object)將COM深植其中。這種功能的結合為電腦病毒、特洛依木馬程式以及間諜軟件的進入大開方便之門。
這些惡意軟件的攻擊與傳遍通常皆要利用ActiveX。微軟早已經認識到這一問題,1996年Charles Fitzgerald-微軟的Java團隊程式負責人曾說,「如果你想在『網路上』安全,請關掉你的電腦。我們從來沒有準備讓ActiveX安全。[16]
ActiveX控制項,一旦執行,即可獲得使用者特權而非像其競爭技術(如Java與JavaScript)那樣被限制的執行。ActiveX控制項一如既往的是一個非標準的不可在非Windows平台上移植的技術。一份普林斯頓大學教授Edward Felten的文章指出 (頁面存檔備份,存於互聯網檔案館):
“ | ActiveX的安全依賴於個人的判斷力。ActiveX程式可以附帶程式廠商或其他任何人的數碼簽章。ActiveX的主要危險之處在於你可能對是否接受一個程式作出錯誤的判斷。在最危險的情況下,這個程式被你所不了解的某個人加上數碼簽章,而你又確實想知道程式執行的結果,但是如果你拒絕它你將不可能看見結果。惟一可以避免這樣情況的方法是拒絕所有程式,而不管上面寫的如何有趣如何好玩兒,除非這個程式來自少數你真正了解的發佈方。[17] | ” |
ActiveX的安全依賴於安全區域的設置和數碼簽章,而沒有類似沙盒以及元政策的指導[18]
“ | ActiveX最大的問題在於它標記對指令碼安全的方法不對。已經有一些email蠕蟲攻擊使用這種方法,這種類型的漏洞還會持續發現。如果微軟都不能正確決定自己系統控制項的安全級別設定,第三方程式提供商更不可能做到。接下來的問題就是未簽署程式碼使用的增長。數碼簽章過程是一項技術並且昂貴。大部份網路上的ActiveX控制項都未曾加以簽章。被簽章程式中的大部份又是過期的證書簽署的。我很少看見一個正確有效的控制項簽章。如果ActiveX的執行在於終端使用者是否選擇執行它,那麼數碼簽章技術一定要更廣泛傳播。如果ActiveX成為世界範圍內網站的標準,那麼可以想見的是,我們將會看見使用ActiveX的惡意程式碼的劇增。[19] | ” |
ActiveX的安全問題首次被發現是在1997年,混沌電腦俱樂部(Chaos Computer Club)這家機構展示了一個可以與使用者手持裝置中Intuit的Quicken金融軟件自動進行連接的ActiveX控制項,這個程式會自動將使用者帳號上的錢轉移至CCC的銀行帳號[20]。
美國國防部(DoD)已經將ActiveX定義為1類(最危險)的流動程式碼技術,並嚴格限制ActiveX在DoD系統內的使用[21]。
也有專家認為ActiveX的風險被過分誇張了,而其實ActiveX是有安全機制的。eWeek的Larry Seltzer指出:
“ | 顯然的沒有足夠證據證明ActiveX是不安全的,有很多反對的聲音是無根據傳說或是不值一駁的謠言。實際上Sun公司花錢僱人編寫惡意ActiveX控制項。我在JavaOne的時候,他們演示了(我想是1997年)它。測試系統顯示的是一系列你通常見到的警示對話方塊,但Sun的僱員竟然有膽量編寫了那種使警示對話方塊迅速關閉以使人們忽略其存在的軟件。同時,他們同樣也沒有提及即使是簽章過的Java小程式也可能會執行一些危險的特權操作,這些操作應當提供類似的警示對話方塊。大部份針對ActiveX的批評是簡單而又非正式的,這個例子卻指出了偽善者的不誠實。[22] | ” |
已發佈的Windows Defender可以監視Windows 2000,XP and Server 2003下IE中的BHO,並對欲新安裝BHO對使用者作出警告。
修補程式
[編輯]很多人批評IE常常在發現問題很長時間後才發佈對應的修補程式,而且發佈的修補程式常常不能完全修復漏洞。如微軟在2003年2月發佈初始報告後200天才發佈出修補程式(而不是30-60天),Marc Maifrett,eEye Digital Security的Hacking部門主管說過:「如果它們真的需要花費如此長的時間來修復(以及測試),那麼他們還有別的問題。這不是一個軟件公司的運作常態。[23]」The Register則批評Maifrett公佈的安全漏洞導致了CodeRed在那年的流行,也有人認為:「如果他們沒有發現引起公眾慌亂、ida漏洞或是他們的SecureIIS產品有能力防衛,紅色程式碼蠕蟲就不會感染數千台系統。[24]
微軟將他們的延期歸咎於區域測試。公司對Internet Explorer進行測試的軟件是複雜而完全的。IE瀏覽器以26種不同語種發佈在不同的Windows平台上。因此,對每個修補程式的測試估計需要進行最少237次安裝 (頁面存檔備份,存於互聯網檔案館)。
雖然安全修補程式持續在不同平台上發佈,但現今大部份修補程式只針對Windows XP發佈。
間諜軟件·廣告軟件與Windows XP SP2
[編輯]間諜軟件與廣告軟件,如同其他的惡意軟件一樣,通常把目標對準Windows/Internet Explorer為基礎的作業系統。較舊的間諜軟件對系統的危害已經因為Windows XP SP2的安全增強而有所緩解,但對IE新型的攻擊會在SP2上安裝間諜軟件。微軟不建議在已經感染間諜軟件的系統上安裝SP2,因為這可能導致不能自舉:
“ | 於安裝SP2前,清除間諜軟件及廣告軟件失敗可導致問題產生及在一些情形中,你會難以重新啟動電腦。你甚至可能不知道間諜軟件或廣告軟件已經於你的系統上安裝。一些間諜軟件或廣告軟件可能不會與SP2構成嚴重問題,但在安裝SP2前,最好執行間諜軟件及廣告軟件的移除程式。[25] | ” |
視已安裝的間碟軟件而定,在SP2更新準備工作中,我們可透過反間諜工具移除間碟軟件或在一些嚴重情形中,需要手動修改登錄檔(Windows Registry)。 然而,保安專家普遍建議安裝Service Pack 2。
對其不支援開放標準的批評
[編輯]在1990年代的瀏覽器戰爭時代,Internet Explorer與Netscape Navigator都不得不致力於在瀏覽器中添加非標準功能。這與近來以web標準設計的瀏覽器形成鮮明對比。在版本號5後,IE的Trident彩現引擎幾乎沒有進行過重大修改。結果在2005年,IE在支援標準上已經大大落後。
雖然每一個版本的IE都會改善基本支援,包括在版本6中引採用的「符合標準模式」,其中用來建立網頁(HTML和CSS)的核心標準卻仍然是以不完全且不正確的方式來實作的。舉例來說,它不支援<abbr> 元素,但這是HTML 4.01 標準的一部份,而且它對CSS1標準中的float-margin部份的實作有缺陷。Internet Explorer盒模型錯誤是Internet Explorer對CSS標準的實作中,最為人熟知的缺陷之一。
由於它在市場上的主導地位,使得某些網頁開發人員只用Internet Explorer來測試他們的網站。某些開發人員也使用Internet Explorer所提供的非標準擴充套件。這導致網頁無法被其他瀏覽器正確地解讀。最糟糕的情況下,它可能會阻擋其他瀏覽器的使用者存取這些開發人員所建立的網站。
雖然Netscape已經停止開發Netscape Navigator,微軟的Internet Explorer因而取得了非常大的市場佔有率,而後開發Netscape Navigator的程式員與一些不滿Internet Explorer的技術人員創立了Mozilla組織並以Netscape Navigator作基礎開發了Mozilla Application Suite與Mozilla Firefox。
圖像標準
[編輯]由於IE不支援PNG圖像的Alpha通道,導致PNG圖像格式在網路上使用率的減少。雖然只是一個可選的特性,Alpha通道卻是把PNG與其他像GIF或者JPEG這樣的格式相區別的一個特色。 在Internet瀏覽器中,透明的部份的形象將被顯示作為灰色,白或者其他顏色。
隔行或漸進顯示對於過去大量使用的撥號上網而頻寬非常有限的用戶非常有用。不過,Internet Explorer的圖像不支援於未完成下載時開啟。但由於寬頻互聯網連接的引進,現在這問題已沒那麼重要。
XHTML
[編輯]HTTP與MIME
[編輯]不像其他瀏覽器,Internet Explorer不允許MIME在Content-Type信頭段中定義MIME類型。比如一個純文字格式的檔內包含了HTML樣式的標記就會被識別為HTML文件,而不是純文字文件。但在這種情況下,可以通過手動修改註冊表的方式強行改變執行行為。
JavaScript與DOM
[編輯]微軟擴展了原先網景的JavaScript並專稱其為JScript,JScript是Internet Explorer的預設手稿語言。與Netscape's JavaScript有相似的實現,JScript支援ECMAScript的完整規範,互聯網上唯一的標準化手稿語言。
最大的不同在於與JScript綁定的文件物件模型(DOM)。
Unicode
[編輯]Internet Explorer對多語言文字支援Unicode標準,因此其理論上有能力顯示任何已經安裝字體的字元。但實際上,Internet Explorer不會對混和Unicode文字自動選擇字體。這種情況下字元可能會以一個空格結束或顯示為問號。
網頁設計者必須猜測在用戶電腦上顯示哪種字體最為合適,如果需要改變就需要對每個Unicode塊進行手動改變。而對其他瀏覽器卻可以自動完成這個操作。
以Unicode之中的英文的音標為例,當網頁中,欲顯示的音標字串的前後有使用與
所包起來時。IE6以前的版本,無法正常顯示出英文的音標。但IE7則已修正了此Bug。
其他批評
[編輯]隨着版本的更新,Internet Explorer的下載大小也顯著增大。對於Internet Explorer 6 Service Pack 1 (頁面存檔備份,存於互聯網檔案館)(包括Outlook Express)來說,其典型安裝時的下載大小已經接近25MB。它的大小從11MB(最簡安裝)到75MB(完全安裝)不等。這大大超過了一另一些網絡瀏覽套裝(Internet suites)的大小,例如(基於Windows installer)Opera 8.0(3.6MB)、Mozilla Suite 1.7.8(11MB)、Mozilla Firefox 1.5.0.6(4.9MB)和SeaMonkey 1.0.4(12MB)。
一個較小但似乎很有意思的批評是軟件名稱中Internet這個單字的使用。嚴格地說,Internet Explorer是為萬維網(World Wide Web)而不是為整個包含了電郵、Usenet、telnet和IRC等的互聯網(Internet)而設計的。由於這種以互聯網(Internet)來代替萬維網(World Wide Web)的誤導性使用,許多對互聯網沒有足夠了解的使用者可能會認為使用Internet Explorer是進入互聯網的唯一途徑。
參考資料
[編輯]- ^ 20个无补丁的安全漏洞列表。. [2005-08-20]. (原始內容存檔於2008-08-20).
- ^ Internet Explorer 6 中 27个无补丁安全漏洞. [2005-08-20]. (原始內容存檔於2016-03-04).
- ^ Researchers warn of infectious Web sites (頁面存檔備份,存於互聯網檔案館), May 12, 2005.
- ^ Handler's Diary May 11th 2005 (頁面存檔備份,存於互聯網檔案館), May 12, 2005.
- ^ An analysis of the Ilookup Trojan (頁面存檔備份,存於互聯網檔案館), May 12, 2005.
- ^ 美国电脑紧急相应小组 Internet Explorer 6 SP1 的資料. [2005-08-20]. (原始內容存檔於2021-03-30).
- ^ 存档副本. [2005-08-20]. (原始內容存檔於2020-09-08).
- ^ 存档副本. [2005-08-20]. (原始內容存檔於2006-04-05).
- ^ 存档副本. [2005-08-20]. (原始內容存檔於2008-07-24).
- ^ Safe Personal Computing (頁面存檔備份,存於互聯網檔案館), May 12, 2005.
- ^ Securing Microsoft Windows (for Home and Small Business Users) (頁面存檔備份,存於互聯網檔案館), May 12, 2005.
- ^ How to Protect Yourself From Vandals, Viruses If You Use Windows (頁面存檔備份,存於互聯網檔案館), May 12, 2005.
- ^ Internet Explorer Is Too Dangerous to Keep Using[失效連結], May 12, 2005.
- ^ 存档副本. [2005-08-20]. (原始內容存檔於2021-03-30).
- ^ 存档副本. [2005-08-20]. (原始內容存檔於2008-03-27).
- ^ 存档副本. [2005-08-20]. (原始內容存檔於2006-08-10).
- ^ 存档副本. [2005-08-20]. (原始內容存檔於2010-06-28).
- ^ 存档副本. [2005-08-20]. (原始內容存檔於2007-07-11).
- ^ 存档副本. [2005-08-20]. (原始內容存檔於2023-03-25).
- ^ 存档副本. [2005-08-20]. (原始內容存檔於2021-04-10).
- ^ 存档副本. [2005-08-20]. (原始內容存檔於2006-07-26).
- ^ http://www.eweek.com/article2/0,1759,1785769,00.asp[失效連結]
- ^ 存档副本. [2005-08-20]. (原始內容存檔於2006-05-31).
- ^ 存档副本. [2005-08-20]. (原始內容存檔於2019-11-16).
- ^ http://www.microsoft.com/windowsxp/using/security/expert/russel_installsp2.mspx
外部連結
[編輯]- Secunia - Vulnerability Report - Microsoft Internet Explorer 6.x (頁面存檔備份,存於互聯網檔案館)
- Explorer Exposed!
- Internet Explorer vs. the Standards
- The Door Is Ajar (頁面存檔備份,存於互聯網檔案館) — An "anti-IE" article by a Sun Microsystems technology director Tim Bray.
- Why You Should Dump Internet Explorer (頁面存檔備份,存於互聯網檔案館) — An "anti-IE" article by a MCSE Daniel Miessler.
- StopIE (頁面存檔備份,存於互聯網檔案館) — An "anti-IE" campaign by a web developer Stephen O'Brien
- Browse Happy (頁面存檔備份,存於互聯網檔案館) — An "anti-IE" campaign by the Web Standards Project
- Drip — A utility to detect and measure IE's memory leaks.