Drucksache: Windows Developer 1.16 - Edge und die Sicherheit
Im windows.developer 1.16 ist ein Artikel über die Sicherheit von Edge erschienen.
Update 21. April 2016:
Der Artikel ist jetzt auch
online verfügbar.
Ende des Updates
Edge ist sicherer als der IE, daran besteht wohl kein Zweifel. Was auch kein Wunder ist, hat man doch reichlich alten Code und alte Funktionen entsorgt, die sicher noch für etliche Schwachstellen im IE sorgen werden. Und da die neuen Funktionen von Anfang an auf Grundlage des Security Development Lifecycle entwickelt wurden, sind sie natürlich sicherer als die, die zumindest teilweise noch vor dessen Einführung entwickelt wurden.
Trend Micro sieht Edge bei der Sicherheit gleichauf mit Chrome, und beide deutlich vor dem Firefox. Was unter anderem an der fehlenden Sandbox des Firefox und dessen weiter vorhandenen Unterstützung von PlugIns liegt. Außerdem fehlt ihm ein JIT-Hardening, und ebenso wie Chrome gibt es natürlich kein MemGC. Zumindest letzteres kann sich schnell ändern, wenn Microsoft diese Funktion allgemein verfügbar macht.
Edge ist zwar noch nicht komplett, noch fehlt zum Beispiel die Möglichkeit, Erweiterungen zu installieren. Insofern ist es etwas unfair, ihn mit den voll ausgerüsteten Browsern zu vergleichen. Wenn alle noch geplanten Funktionen implementiert sind, gibt es natürlich neue Angriffspunkte. Aber auch die wird Microsoft bei der Entwicklung berücksichtigt und entsprechend abgesichert haben. Edge dürfte also kaum unsicherer werden, nur weil die noch fehlenden Funktionen nachgeliefert werden.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "Drive-by-Infektionen - Gefahren drohen überall"
- [2] Carsten Eilers: "Die 0-Day-Exploits 2013 im Überblick"
- [3] Carsten Eilers: "Die 0-Day-Exploits 2014 im Überblick"
- [4] Carsten Eilers: "Die 0-Day-Exploits 2015 im Überblick"
- [5] Microsoft Edge Dev - Frequently Asked Questions: "Is Adobe Flash supported in Microsoft Edge?"
- [6] Carsten Eilers: "Oracle patcht drei Monate alte 0-Day-Schwachstelle in Java"
- [7] Adobe: Flash Player Issues ¦ Windows 10 ¦ Microsoft Edge
- [8] Mark Hachman; PCWorld: "Tested: How Flash destroys your browser's performance"
- [9] Microsoft Edge Dev - Frequently Asked Questions: "Does Microsoft Edge support ActiveX controls or BHOs like Silverlight or Java?"
- [10] Microsoft Edge Dev - Frequently Asked Questions: "Does Microsoft Edge support plug-ins or extensions?"
- [11] Chrome Help: "Plugin-based content doesn't work on Chrome"
- [12] Charles Morris, Jacob Rossi; Microsoft Edge Dev Blog: "A break from the past, part 2: Saying goodbye to ActiveX, VBScript, attachEvent..."
- [13] Henry Li; Tend Micro TrendLabs Security Intelligence Blog: "Windows 10 Sharpens Browser Security With Microsoft Edge"
- [14] Crispin Cowan; Microsoft Edge Dev Blog: "Microsoft Edge: Building a safer browser"
- [15] Carsten Eilers: "Windows 10 Sicherheit für Entwickler"; Windows Developer 12.15
- [16] SmartScreen Filter: Frequently Asked Questions
- [17] Anoosh Saboori, Ritika Kapadia; IEBlog: "Certificate reputation, a novel approach for protecting users from fraudulent certificates"
- [18] Anoosh Saboori; Microsoft Edge Dev Blog: "Certificate Reputation for website owners"
- [19] Vincent Wehren; Webmaster Blog: "Track Certificates to Help Users Stay Safe"
- [20] Developer Resources - Microsoft Edge Dev: "Public Key Pinning Extension for HTTP"
- [21] RFC 7465: Prohibiting RC4 Cipher Suites
- [22] Alec Oot; Microsoft Edge Dev Blog: "Ending support for the RC4 cipher in Microsoft Edge and Internet Explorer 11"
- [23] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 1" ff.
- [24] Kyle Pflug; Microsoft Edge Dev Blog: "HTTP Strict Transport Security comes to Internet Explorer 11 on Windows 8.1 and Windows 7"
- [25] Developer Resources - Microsoft Edge Dev: "Content Security Policy Level 2"
- [26] HSTS Preload Submission
- [27] W3C: Web Cryptography API - W3C Last Call Working Draft 25 March 2014
- [28] Microsoft Edge Developer Guide - Security
- [29] Internet Explorer compatibility cookbook - HTML and DOM compatibility changes - Web Cryptography API updates
- [30] Carsten Eilers: "Schutzmaßnahmen: ASLR gegen Pufferüberlauf-Schwachstellen" ff.
- [31] Mark Yason; Security Intelligence: "MemGC: Use-After-Free Exploit Mitigation in Edge and IE on Windows 10"
- [32] Jim Hogg; Visual C++ Team Blog: "Visual Studio 2015 Preview: Work-in-Progress Security Feature"
- [33] Mark Vincent Yason; Black Hat USA 2015: "Understanding the Attack Surface and Attack Resilience of Project Spartan's New EdgeHTML Rendering Engine"
- [34] Microsoft Security Bulletin MS15-091 - Critical - Cumulative Security Update for Microsoft Edge (3084525)
- [35] Microsoft Security Bulletin MS15-079 - Critical - Cumulative Security Update for Internet Explorer (3082442)
- [36] Microsoft Security Bulletin MS15-095 - Critical - Cumulative Security Update for Microsoft Edge (3089665)
- [37] Microsoft Security Bulletin MS15-094 - Critical - Cumulative Security Update for Internet Explorer (3089548)
- [38] Microsoft Security Bulletin MS15-093 - Critical - Security Update for Internet Explorer (3088903)
- [39] Microsoft Security Bulletin MS15-107 - Important - Cumulative Security Update for Microsoft Edge (3096448)
- [40] Microsoft Security Bulletin MS15-106 - Critical - Cumulative Security Update for Internet Explorer (3096441)
- [41] Henry Li; Tend Micro TrendLabs Security Intelligence Blog: "Windows 10’s New Browser Microsoft Edge: Improved, But Also New Risks"
Trackbacks
Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 11.17 - Windows 10 im Visier der Sicherheitsforscher
Vorschau anzeigen