【Cybersec Wednesday】启发历代浏览器进步 IE的历史任务终告完成
踏入六月份,面世了二十七年的Internet Explorer(IE)将会正式退役,可以说是互联网世界上其中一个大日子。年纪较轻的用家,可能都没有用过IE,甚至有网民说,IE 的用途就用来下载Chrome。
IE 可以说是伴随著互联网的发展,也许你会觉得现在的浏览器十分成熟,安全方面也做得不错,其实IE 在这件事上也应记一功,因为在过去二十七年,其市场占有率一度接近95%,更曾因为垄断而闹上法庭,因此IE也是过去被黑客攻击的首要对象。作为占有率最高的浏览器,每一代的变化和曾发生过的事故,都奠定了现在浏览器的基础,让我们来回顾一下吧!
当年的IE 真的是差不多由零开始打造,大家现在日常浏览网页都在用的一些基本功能,例如显示JPEG和GIF、SSL 等等,过去也是经历重大更新才出现的新功能。IE6 是一个很重大的更新,新增了不同的支援 (DHTM:CSS 等等)、加入大量新元素,自然漏洞也跟著一起增加。即使IE6 有许多漏洞、安全性能也不太好,但郤是最受欢迎的一代。有调查发现,在IE6面世十年后,即使已经推出了新的版本也面对其他竞争对手,但也有多达七成用家还是在用IE6。
即使IE6 之后有不断的更新或修补,但可能因为市场占有的关系,IE 的更新速度逐渐变慢。直到5年后IE7才面世,然而正是这几年的空档导致竞争者出现了。在2020年官方发出的安全报告中,IE和edge 各版本的漏洞数量就高达92个,当中有超过6成是严重等级。
说到这里,由最早期的IE和后期的IE一直都有不同的安全性问题,但为甚么占有率还这么高,又等了这么多年后才退役?背后最主要的原因是「兼容性」。很多网页早期的开发,都是针对IE来开发代码,即使后期Windows 把IE刻意隐藏,但有不少人用其他浏览器发现有兼容性问题的时侯都会打开IE「试一试」。不过安全性的问题却是用家们一直以来的烦恼,最夸张的是一打开网页就中毒了…
「ActiveX」和「Java」可以说是危害IE安全性的元凶,Java 的严重漏洞多不胜数,Chrome 在很久以前就开始不支援,而ActiveX 则是一直只有IE 才支援的,它是用来实现物件连接和嵌入。简单来说,ActiveX 可以在你的Windows 上安装或启动程式,在早期的IE你只要打开一些有恶意软件的超连结,就已经可能会被安装病毒或后门程式;在还没有HTML5 的年代,网站想做得五花百门,都会利用ActiveX 来制造插件,所以大家都习惯透过浏览器去安装程式,这就是攻击者有机可乘的地方。至于后期的IE虽然已加入了ActiveX 的控制选项,但其实有多少用户能自己分辨何者是恶意插件?直到新的edge也再不支援ActiveX,就知道这种不安全的方法,也是等待被淘汰。
现在网页开发进步的步伐走得十分之快,HTML5 已经能够做到很多事情而不需用家去安装,减低了潜在风险。尽管浏览器的进步十分惊人,异军突起的一众浏览器都是观察到IE在用户体验和安全性间的不足来开发。现在大量的插件,应有尽有,甚至有自己的市场,给网页开发人员放自己的插件上架,有官方的检查,可以给用家评论,透明度高,用家也可以做足「功课」才安装。至于安全性方面,「中间人攻击」、凭证不安全等等的安全性警告也做到十分到位,但不要忘记是IE这个曾经身先士卒带领我们开展在互联网上的探索之旅,才为我们带来了现在的浏览器改变。
没有永远完美的产品,厂商要为保护大家安全而不断更新去提升产品的安全水平,但大家时刻也要保持警觉,也许浏览器已经帮助你不少,但自己的警惕才是最重要。
安全在很多方面还需要注意,如有任何疑问欢迎加入我们的Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
关于 Cybersec Wednesday每逢星期三,HKIRC网络安全团队都会挑选一个网络安全主题,以文章、贴士或最佳实践的形式与大家分享。 请留意每周三的更新,定时掌握最新鲜的网络安全资讯。
