【Cybersec Wednesday】啟發歷代瀏覽器進步 IE的歷史任務終告完成
踏入六月份,面世了二十七年的Internet Explorer(IE)將會正式退役,可以說是互聯網世界上其中一個大日子。年紀較輕的用家,可能都沒有用過IE,甚至有網民說,IE 的用途就用來下載Chrome。
IE 可以說是伴隨著互聯網的發展,也許你會覺得現在的瀏覽器十分成熟,安全方面也做得不錯,其實IE 在這件事上也應記一功,因為在過去二十七年,其市場佔有率一度接近95%,更曾因為壟斷而鬧上法庭,因此IE也是過去被黑客攻擊的首要對象。作為佔有率最高的瀏覽器,每一代的變化和曾發生過的事故,都奠定了現在瀏覽器的基礎,讓我們來回顧一下吧!
當年的IE 真的是差不多由零開始打造,大家現在日常瀏覽網頁都在用的一些基本功能,例如顯示JPEG和GIF、SSL 等等,過去也是經歷重大更新才出現的新功能。IE6 是一個很重大的更新,新增了不同的支援 (DHTM:CSS 等等)、加入大量新元素,自然漏洞也跟著一起增加。即使IE6 有許多漏洞、安全性能也不太好,但郤是最受歡迎的一代。有調查發現,在IE6面世十年後,即使已經推出了新的版本也面對其他競爭對手,但也有多達七成用家還是在用IE6。
即使IE6 之後有不斷的更新或修補,但可能因為市場佔有的關係,IE 的更新速度逐漸變慢。直到5年後IE7才面世,然而正是這幾年的空檔導致競爭者出現了。在2020年官方發出的安全報告中,IE和edge 各版本的漏洞數量就高達92個,當中有超過6成是嚴重等級。
說到這裡,由最早期的IE和後期的IE一直都有不同的安全性問題,但為甚麼佔有率還這麼高,又等了這麼多年後才退役?背後最主要的原因是「兼容性」。很多網頁早期的開發,都是針對IE來開發代碼,即使後期Windows 把IE刻意隱藏,但有不少人用其他瀏覽器發現有兼容性問題的時侯都會打開IE「試一試」。不過安全性的問題卻是用家們一直以來的煩惱,最誇張的是一打開網頁就中毒了…
「ActiveX」和「Java」可以說是危害IE安全性的元兇,Java 的嚴重漏洞多不勝數,Chrome 在很久以前就開始不支援,而ActiveX 則是一直只有IE 才支援的,它是用來實現物件連接和嵌入。簡單來說,ActiveX 可以在你的Windows 上安裝或啟動程式,在早期的IE你只要打開一些有惡意軟件的超連結,就已經可能會被安裝病毒或後門程式;在還沒有HTML5 的年代,網站想做得五花百門,都會利用ActiveX 來製造插件,所以大家都習慣透過瀏覽器去安裝程式,這就是攻擊者有機可乘的地方。至於後期的IE雖然已加入了ActiveX 的控制選項,但其實有多少用戶能自己分辨何者是惡意插件?直到新的edge也再不支援ActiveX,就知道這種不安全的方法,也是等待被淘汰。
現在網頁開發進步的步伐走得十分之快,HTML5 已經能夠做到很多事情而不需用家去安裝,減低了潛在風險。儘管瀏覽器的進步十分驚人,異軍突起的一眾瀏覽器都是觀察到IE在用戶體驗和安全性間的不足來開發。現在大量的插件,應有盡有,甚至有自己的市場,給網頁開發人員放自己的插件上架,有官方的檢查,可以給用家評論,透明度高,用家也可以做足「功課」才安裝。至於安全性方面,「中間人攻擊」、憑證不安全等等的安全性警告也做到十分到位,但不要忘記是IE這個曾經身先士卒帶領我們開展在互聯網上的探索之旅,才為我們帶來了現在的瀏覽器改變。
沒有永遠完美的產品,廠商要為保護大家安全而不斷更新去提昇產品的安全水平,但大家時刻也要保持警覺,也許瀏覽器已經幫助你不少,但自己的警惕才是最重要。
安全在很多方面還需要注意,如有任何疑問歡迎加入我們的Cybersec Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
關於 Cybersec Wednesday每逢星期三,HKIRC網絡安全團隊都會挑選一個網絡安全主題,以文章、貼士或最佳實踐的形式與大家分享。 請留意每週三的更新,定時掌握最新鮮的網絡安全資訊。
