Internet Explorer 8: вся подноготная

Корпорация Microsoft 19 марта выпустила Internet Explorer 8 – новую версию своего браузера. Все еще самого распространенного в мире, но, тем не менее, стремительно сдающего рыночные позиции. IE8 вышел сразу на 25 языках и доступен пользователям Windows XP, Windows Vista, а также Windows Server 2003 и 2008. Пользователям бета-версии Windows 7, к которой прилагается бета же Internet Explorer 8, придется подождать обновлений. В Microsoft утверждают, что новинка стабильнее, быстрее и в целом намного лучше предшественников. Разработчики надеются, что IE8 остановит или хотя бы замедлит сокращение доли браузеров Microsoft в Сети.

История


Разработка восьмой версии Internet Explorer заняла два с половиной года. Из них целый год ушел на обкатку бета-версии браузера. Впрочем, это все же лучше, чем памятный шестилетний разрыв между версиями 6 и 7. Официально Internet Explorer 8 был анонсирован на конференции Microsoft Mix07. 5 марта 2008 года вышла первая бета-версия, а в августе 2008-го – вторая бета. 10 декабря 2008 года вышел IE8 RC1 (Release Candidate), в котором был улучшен режим приватности, увеличена скорость и надежность работы.
Выход новой версии браузера хоть и сопровождался традиционной шумихой и помпой, но в Microsoft признают: сегодня рынок браузеров уже не тот, что был еще 4-5 лет назад. За последние годы IE потерял почти 1/5 рынка. Если в 2004 году его доля была более 90% рынка, то сейчас она уже опускается ниже 70%. Причина тому – активные действия конкурентов, в первую очередь Mozilla Firefox, доля которого на некоторых рынках (особенно в Европе) доходит до 35-40%. Однако в Microsoft говорят, что с выходом IE8 намерены дать серьезный бой конкурентам.

Выпуск предыдущей версии IE состоялся в августе 2006-го, с тех пор на рынке появился новый игрок – Google Chrome, а остальные игроки перешли на заметно более короткие циклы обновлений. В результате Microsoft осталось только вспоминать о том, что еще недавно корпорация могла себе позволить устанавливать собственные стандарты отображения информации в Сети.

Изменения и нововведения

Стив Баллмер, генеральный директор Microsoft, в своем заявлении по поводу выпуска нового браузера сказал: "Клиенты ясно дали понять, чего они хотят от web-браузера – безопасность, скорость и удобство использования. Наш браузер Internet Explorer 8 предоставляет пользователям быстрый доступ к необходимой информации и обеспечивает защиту, с которой не может сравниться никакой другой браузер". Ну, это он, конечно, преувеличил. По сути, очередной Explorer опять оказался в роли догоняющего – появившиеся в нем нововведения в большинстве своем уже реализованы в других "интернет-бродилках". IE8 просто лучше прежних версий, но пока не очень ясно, какие сюрпризы могут в нем скрываться.

Прежде всего, движок IE8 оптимизирован таким образом, чтобы занимать в оперативной памяти как можно меньше места. Во-вторых, в браузере встроена (опять же на уровне движка) система защиты от онлайн-угроз. Хотя она не заменяет антивирус или межсетевой экран, определенную пользу от ее применения обычные пользователи могут извлечь – впрочем, о безопасности мы поговорим ниже. В-третьих, в IE8 внедрено (наконец-то!) понятие плагинов (как в Firefox), за счет которых браузеру можно придать ту или другую новую функциональность.

В программе произведено и множество внутренних усовершенствований для улучшения обработки HTML, CSS (с полной поддержкой CSS 2.1), JavaScript. Помимо внутренних изменений в программе появились и новые функции:
- Activities – набор различных сервисов, облегчающих жизнь пользователя. Интеграция с блогами, социальными сетями, картами и прочими сервисами современного Интернета;
- WebSlices – подобие RSS потоков, только с более широкими возможностями. Позволяет подписаться на получение разного рода информации с сайтов;
- Favorite Bar – улучшенная панель "Избранное", в которой могут помещаться ссылки как на web-сайты и RSS-потоки, так и на документы Word, Excel и Powerpoint. Этот элемент также обзавелся несколькими полезными функциями, в частности кнопкой для быстрого добавления сайтов и средством для "уплотнения" кнопок на этой панели при увеличении их числа;
- Improved Phishing Filter – улучшенная фильтрация мошеннических сайтов;
- Automatic Crash Recovery – одно из самых полезных нововведений. Позволяет восстанавливать открытые вкладки браузера в случае "падения" программы.

В IE8 также включена функция безопасности просмотра InPrivate, позволяющая не оставлять на ПК информации о том, какие страницы открывал пользователь, и не дающая возможности сторонним web-сайтам отслеживать перемещения пользователя по Сети. Кроме того, в IE8 используется адресная строка Smart Address, аналогичная адресной строке Firefox. Что касается совместимости нового браузера, то в IE8 есть стандартный режим и режим IE7, специально предназначенный для просмотра сайтов, оптимизированных под предыдущую версию браузера. Более того, возможно автоматическое переключение между этими режимами.

Другие новшества – выделение цветом взаимосвязанных вкладок, всплывающие карты при клике на географическое название и показ картинок наряду с текстом в поле поиска — пока даже не реализованы в браузерах-конкурентах.

В новом режиме рендеринга, называемом "режимом стандартов", включенном по умолчанию, IE8 поддерживает data:URL, HTML object fallback, тег abbr, CSS generated content и display: table display type, в дополнение к исправлениям, внесенным в процесс обработки CSS и HTML. Все эти изменения позволяют IE8 пройти тест Acid2 (предшественникам это не удавалось). В более сложном тесте Acid3, который проходит Safari 4 и почти проходит Google Chrome, новый браузер Microsoft набрал только 20 баллов из 100.

Internet Explorer 8 в действии

В IE8 действительно обнаружилось много улучшений по сравнению с IE7. Программа работает более стабильно – у меня за все время работы она ни разу не зависла. Если в одной из вкладок IE8 произойдет сбой, закроется только эта вкладка, а браузер продолжит работу. Аналогичный механизм реализован в браузере Google Chrome. Восьмой Internet Explorer также умеет заново открывать закрывшиеся из-за сбоя вкладки.

Однако по скорости загрузки страниц IE8 уступает браузерам Firefox 3, Safari 4 и Google Chrome. Особенно заметно отставание при работе с большим числом страниц и вкладок.
Существенно усовершенствована работа с несколькими вкладками в окне. Кроме группировки и цветового выделения вкладок появилась возможность нажатием кнопки показать мини-изображения соответствующих страниц или их полный список. При создании новой пустой вкладки IE8 предлагает выбор из недавно закрытых сайтов (в пределах сессии). Можно смело открывать, закрывать, опять открывать, и потом восстанавливать из новой вкладки. Можно также выполнить операции с ранее скопированным текстом – например, отправить его по почте или опубликовать в блоге.

При вводе web-адреса или поискового запроса программа предлагает подсказку на основе прежних действий пользователя (впрочем, аналогичные функции есть и у конкурентов).
Microsoft также ввела понятие "Ускоритель". Это сервисы, которые обрабатывают отмеченный пользователем фрагмент текста. Выделив мышью несколько предложений, можно нажать на появившуюся иконку и, к примеру, отправить текст в свой блог. Таких ускорителей написано уже довольно много, и их можно добавлять в уже установленный браузер.

Механизм работы с JavaScript существенно ускорился. Теперь тест Sun Spider браузер в среднем проходит за 8685 миллисекунд. Для сравнения, у бета- версии Google Chrome, имеющей один из самых быстрых обработчиков JavaScript, на выполнение тех же задач ушла 1721 миллисекунда. Конечно, разрыв в пять раз огромен, но вспомните, что Internet Explorer 7 показал результат в 107524 миллисекунды. То есть разработчики ускорили обработку JavaScript более чем в 12 раз.

В Microsoft также утверждают, что новый браузер загружает 12 из 25 самых популярных сайтов мира быстрее, чем Firefox 3.05 и даже Chrome 1.0. Подтвердить или опровергнуть это я пока не возьмусь.

Системы безопасности в IE8

Представители Microsoft, как водится, заявили о том, что их новый браузер – "самый безопасный в мире" и гордо поведали публике о следующих новшествах:
- Cross-Site-Scripting Defenses;
- Safer Mashups (HTML and JSON Sanitization);
- MIME-Handling Changes (Restrict Upsniff and Sniffing Opt-Out);
- Add-on Security;
- Protected Mode;
- Application Protocol Prompt;
- File Upload Control;
- Social Engineering Defenses.
Разберемся с некоторыми из них.

1. Cross-Site-Scripting (XSS) Defenses
XSS в последние годы стал уязвимостью №1. Статистика от NGS за 2007 год красноречива:
- Broken authentication 67%;
- Broken access controls 78%;
- SQL injection 36%;
- Cross-site scripting 91%;
- Information leakage 81%.

То есть 91% исследованных web-приложений оказались уязвимы для XSS, который по сути является разновидностью Injection-атак (внедрение опасного кода). Повсюду, где реализован пользовательский ввод, существует опасность XSS. Если ввод не фильтруется, достаточно оставить сценарий скрипта на странице, и этот скрипт автоматически будет выполняться на браузере любого пользователя, просматривающего данную страницу.

В IE8 реализован компонент XSS Filter – он анализирует все request и response, выявляет XSS, после чего уведомляет пользователя о грозившей, но предотвращенной угрозе. Компании, которые беспокоятся о том, чтобы их сайт не был "случайно" заблокирован этим фильтром, могут решить свою проблему – XSS-фильтр можно отключить передаваемым через http заголовок параметром X-XSS-Protection: 0.

2. Safer Mashups (HTML and JSON Sanitization)
Представьте себе ресурс, который является контейнером для других ресурсов и создает свой контент, основываясь на других страницах. Можно делать mash-up по-разному, например, просто используя SCRIPT SRC. В этом случае никто не помешает злоумышленникам получить доступ к Document Object Model. Разработчики IE8 реализовали поддержку HTML5 cross-document messaging, чтобы IFRAME'ы могли взаимодействовать более безопасно благодаря DOM изоляции. Также введен XDomainRequest, чтобы получать открытые (public) данные через домены.

IE8 предлагает новый метод для объекта window – toStaticHTML. Строка, переданная данному методу, проверяется на наличие скрипта. Если он там обнаруживается, то скрипт удаляется, и на выходе строка уже не содержит скрипта. Примерно то же самое и с JSON-объектами: проверяется, содержат ли они исполняемый скрипт.

3. MIME-Handling Changes (Restrict Upsniff and Sniffing Opt-Out)
Каждый передаваемый web-сервером тип файла ассоциирован с MIME-типом. Каждый тип файлов браузер обрабатывает по-разному. IE имеет собственный MIME-сниффер, который определяет переданный тип файлов. MIME-сниффер определяет, что в теле ответа присутствуют тэги HTML, и решает, что нужно рендерить, как HTML. Но MIME-сниффер не всегда срабатывает корректно. К примеру, можно создать специальный JPEG файл, содержащий скрипт, и когда пользователь зайдет на страницу с картинкой, браузер выполнит замаскированный скрипт.

Новшество IE8 в том, что он не будет "сниффать" ответ с атрибутом image/*. Насколько это поможет в деле обеспечения безопасности – сказать сложно.

4. Add-on Security
Теперь использование Data Execution Prevention (DEP) Memory Protection не сможет "подвешивать" IE. Некоторые аддоны из-за DEP нарушали работу IE7. В IE8 эта проблема решена. Задействован Per-Site ActiveX – защитный механизм для предотвращения использования контролов злоумышленниками.

5. Application Protocol Prompt
Если пользователь захочет что-то напрямую из браузера (например, потоковое медиа), он сначала получит окошко с вопросом, "Действительно ли вы хотите...?". Только и всего

6. File Upload Control
Это тот же хорошо знакомый Upload. Только теперь текстовое поле в диалоге с выбором файла доступно лишь для чтения. Также IE8 вместо C:\users\ericlaw\documents\secret\image.png отправит лишь image.png – соответственно, информация локального характера не уйдет в Сеть.

7. Social Engineering Defenses
За этим громким названием скрывается просто борьба с фишингом. Реализована функция Address Bar Improvements – в адресной строке IE8 имя домена черное, а остальная часть адреса – серая. Это позволяет пользователю легче определять мошеннические сайты – например, отличать paypal.com от paypal.com.evil.org.

Новые функции безопасности – это, конечно, хорошо, но их эффективность все равно вызывает сомнения. Достаточно вспомнить, что на недавнем хакерском конкурсе PWN2OWN IE8 был взломан немецким студентом, который получил за взлом $5000 и ноутбук Sony Vaio, на котором производился взлом. Студент по имени Нильс за пять минут (!) взломал систему безопасности ноутбука, используя для проникновения ранее не выявленные уязвимости нового браузера. На ноутбуке была установлена ОС Windows 7. Администрация PWN2OWN передала подробную информацию о проведенном взломе в компанию Microsoft, где сразу же начали работать над исправлением ошибки. Представители Microsoft связались со студентом, взломавшим "самый безопасный браузер", и через некоторое время воспроизвели его действия в своей лаборатории.

Колебания популярности
Спустя сутки после выхода финальной версии IE8 его рыночная доля достигла 1,7% – об этом сообщила компания Net Applications. Для сравнения: рыночная доля браузера Google Chrome, бета-тестирование которого завершилось в декабре 2008-го, по итогам февраля нынешнего года составила 1,15%. По данным Net Applications, спустя двое суток после выхода IE8 рыночная доля этого браузера достигла 2,22%. Утром 23 марта новый браузер Microsoft занимал 2,41% рынка.

Однако в дальнейшем доля браузера начала неуклонно снижаться и уже к вечеру 23-го упала до 1,86%. Кроме того, аналитики отмечают, что предпосылок для второй волны роста аудитории пользователей IE8 не предвидится. Для сравнения, после выхода финального релиза Firefox 3 прошлым летом его доля выросла за три дня более чем в два раза по сравнению с бета-версией и достигла 19%.

Исследователи также отмечают, что большая часть временного роста IE8 явно пришлась на пользователей IE7, доля которого после выхода финальной версии его потомка снизилась на 1,54%. Впрочем, та значимость, которую в Microsoft придают новому браузеру, не позволит корпорации просто сидеть сложа руки в ожидании самостоятельной миграции пользователей. Вполне вероятно, что уже в ближайшее время Microsoft запустит кампанию по продвижению IE 8.

Для справки: в феврале нынешнего года браузеры семейства Internet Explorer заняли 67,44% рынка. Вторым по популярности браузером стал Firefox, занявший 21,77% рынка. На долю Safari пришлось 8,02% рынка.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 13 за 2009 год в рубрике soft

©1997-2022 Компьютерная газета