Craig Spiezle over Internet Explorer 8

Gisteren was ik door Microsoft België uitgenodigd voor een presentatie van Craig Spiezle, Director Security & Privacy Product Management. In die functie is Craig Spiezle verantwoordelijk voor de nieuwe security features in Internet Explorer 8. Craig begon met toe te geven dat Microsoft in IE6 onvoldoende aandacht besteed had aan security, voornamelijk op het gebied van browser vulnerabilities. Maar ondertussen heeft Microsoft hiervan stevig werk gemaakt door een heleboel maatregelen te nemen om de security van de gebruikers van IE te verbeteren. Door de verbeterde security van de browser, door popup blockers, door de awareness en de tools voor opvangen van email threats (spam en phishing) richten de bad guys zich tegenwoordig meer en meer op server side hacking, zoals malvertising en cross site scripting. De aandacht van Microsoft is nu gericht deze threats eveneens op te vangen.

Informatie over de nieuwe features van IE8 zijn beschikbaar op de website van Microsoft waar je IE8 beta 2 reeds kan downloaden. Er is bovendien de IE8 Demo Site waar je een heleboel features aan het werk kan zien - vooropgesteld dat je met IE8 surft.

Een belangrijke nieuwigheid van IE8 is InPrivate Browsing. Na afloop van een InPrivate Browsing sessie wordt er geen spoor meer bijgehouden van de sites die je in de sessie bezocht hebt. Dit kan handig zijn indien je niet graag hebt dat je huisgenoten of je collega's te weten komen welke aankopen je gedaan hebt of welke health care sites je bezocht hebt. Craig Spiezle had het over het vermijden van "over the shoulder type of browsing", verhinderen dat anderen over je schouder meekijken naar welke sites je surft. Tijdens de presentatie durfde blijkbaar niemand het te vermelden, maar op internet wordt InPrivate Browsing betiteld als "porn mode". Personen die InPrivate Browsing activeren moeten er zich van bewust zijn dat er steeds sporen bijgehouden worden van surfactiviteiten. Bij ISP's worden er immers logs bijgehouden. De cache op de lokale PC wordt na afloop van een InPrivate Browsing sessie leeggemaakt, maar met gespecialiseerde tools is het (vaak) mogelijk geschrapte bestanden terug te voorschijn te halen. InPrivate Browsing is volgens Craig bijgevolg geen inperking voor law enforcements officers.

IE8 InPrivate Blocking is een bijkomende functionaliteit die je toelaat content van verdachte third party sites tegen te houden, dit is content van domeinen die verschillend zijn van het domein van de site die de gebruiker opgevraagd heeft. Eén van de criteria die gehanteerd worden om een domein in het kader van InPrivate Blocking te blokkeren is dat het domein op minstens 10 verschillende URL's opgeroepen wordt. Gebruikers kunnen in IE8 wel manueel instellen welke domeinen ze alsnog als veilig beschouwen. Het gevolg van deze nieuwe functionaliteit is dat web analytics packages die niet werken op het domein van de opgeroepen URL (zoals Google Analytics, OneStat, SiteMeter, ...) riskeren geblokkeerd te worden. Microsoft is zich hier van bewust en heeft reeds gesprekken gevoerd met allerlei betrokken partijen (bijvoorbeeld advertentiesites).

Gebruikers kunnen verdachte sites aan Microsoft melden of voor onterecht verdachte sites melden dat ze alsnog betrouwbaar zijn. Deze meldingen worden in eerste instantie automatisch verwerkt, maar uiteindelijk toch door Microsoft medewerkers bekeken. Craig Spiezle wou geen cijfers geven over het aantal Microsoft medewerkers dat hierbij betrokken is. Hij liet wel weten dat deze medewerkers zich in verschillende tijdszones bevinden.

Bij het uitwerken van nieuwe of gewijzigde functionaliteiten moet Microsoft (of gelijk welke andere leverancier van een browser) een goed compromis maken tussen user experience, privacy, security en performantie. Het moet evident zijn voor een gebruiker de impact van instellingen te bepalen (bv InPrivate Blocking) en deze eventueel aan te passen. Craig Spiezle gaf op verschillende plaatsen aan dat in een volgende versie van IE8 de interface nog zal gewijzigd worden om het nog duidelijker te maken voor de gebruikers. Bij het detecteren van malicious content moet de leverancier attent zijn voor de privacy van de gebruiker door niet zomaar alle verdachte URL's volledig naar Microsoft door te sturen. Alle maatregelen om de security te garanderen hebben bovendien impact op de performantie van de browser en op het verbruik van de bandbreedte van de surfer.

Een datum waarop de definitieve versie van IE8 zou verschijnen kon Craig Spiezle niet geven. Als je toch reeds IE8 wil uitproberen, kan je steeds de beta versie downloaden.

Technorati : Craig Spiezle - Internet Explorer 8 - IE8 - InPrivate Browsing - InPrivate Blocking - Microsoft