微軟IE安全計(jì)劃經(jīng)理Eric Lawrence7月2日在部落格中揭露了IE 8的新安全功能，目前IE 8已處于公開(kāi)測(cè)試階段，而新的安全功能則可望在8月出爐的IE 8 Beta 2中露面。 

　　Lawrence表示，安全是進(jìn)行可信賴網(wǎng)絡(luò)瀏覽的核心特質(zhì)，而IE 8則提供重大的改善以解決逐漸增加的網(wǎng)絡(luò)安全問(wèn)題。IE團(tuán)隊(duì)將網(wǎng)絡(luò)威脅分為三個(gè)類別，分別是網(wǎng)絡(luò)應(yīng)用程序漏洞、瀏覽器及插件漏洞，以及社交工程威脅等，IE 8則針對(duì)不同的威脅提供多種防范措施。 

　　在網(wǎng)絡(luò)應(yīng)用程序漏洞部份，IE 8新增了跨站攻擊（Cross-Site-Scripting，XSS）防御、支持更安全的混搭程序建置、更新MIME（Multipurpose Internet Mail Extensions）管理等。Lawrence說(shuō)，XSS已凌駕緩沖區(qū)溢出，成為最常見(jiàn)的軟件漏洞，它利用網(wǎng)絡(luò)應(yīng)用程序的漏洞以竊取用戶的瀏覽紀(jì)錄或其他數(shù)據(jù)，甚至用來(lái)發(fā)動(dòng)其他攻擊，因此IE 8提供了XSS過(guò)濾裝置以避免相關(guān)惡意軟件的執(zhí)行。不過(guò)，Lawrence也建議網(wǎng)站業(yè)者必須同步消除網(wǎng)絡(luò)應(yīng)用程序中的XSS漏洞才能確保網(wǎng)絡(luò)安全。 

　　此外，混搭程序的盛行也導(dǎo)致開(kāi)發(fā)人員所引用的第三方應(yīng)用程序可能直接存取網(wǎng)站上的文件對(duì)象模型（DOM）與非HttpOnly Cookie。因此，IE 8對(duì)HTML 5跨文件傳訊的支持功能可讓IFRAME間的溝通更安全同時(shí)可隔離DOM，并提供XDomainRequest對(duì)象以提供跨網(wǎng)域取得公開(kāi)數(shù)據(jù)時(shí)的網(wǎng)絡(luò)安全。在MIME的管理上，IE 8更新了處理圖像文件的方式，如果該圖像文件的下載服務(wù)器說(shuō)明這是一個(gè)圖像文件，那么IE 8就不會(huì)執(zhí)行嵌在圖像文件中的描述性程序，以防止黑客透過(guò)圖像文件寄送惡意軟件或連結(jié)。 

　　在瀏覽器防御部份，提供安全插件功能、更新保護(hù)模式、應(yīng)用程序協(xié)議提醒功能及檔案上傳控制等功能；在社交工程威脅部份，改善了網(wǎng)址列功能、新增SmartScreen過(guò)濾裝置。 

　　Lawrence說(shuō)明，應(yīng)用程序協(xié)議處理器可讓第三方的應(yīng)用程序直接自窗口中的瀏覽器或其他應(yīng)用程序執(zhí)行，該功能非常的強(qiáng)大，再加上有些注冊(cè)為協(xié)議處理器的應(yīng)用程序含有許多漏洞使得它成為黑客攻擊途徑，因此IE 8在執(zhí)行這些應(yīng)用程序協(xié)議時(shí)新增了提醒功能。而檔案上傳功能經(jīng)常成為信息泄露的管道，因此IE 8更新了檔案上傳控制功能，包括將檔案路徑編輯窗口設(shè)為只讀，以及關(guān)閉"上傳檔案時(shí)包括區(qū)域目錄路徑"的默認(rèn)。 

　　至于防止社交工程威脅方面，則是在網(wǎng)址列上用黑字強(qiáng)調(diào)特定網(wǎng)站關(guān)鍵的域名，同時(shí)透過(guò)不同的網(wǎng)址列顏色來(lái)區(qū)分安全或是具威脅的網(wǎng)站，供使用者容易識(shí)別；SmartScreen過(guò)濾工具強(qiáng)化了7.0所使用的網(wǎng)釣過(guò)濾機(jī)制，防堵的不再只是釣魚(yú)網(wǎng)站，同時(shí)還包括含有惡意軟件的網(wǎng)站，提供全面的惡意軟件防御能力。