ต่อเนื่องจากข่าว ล้างบ้าน Microsoft Edge จะไม่รองรับ ActiveX, VBSript, VML ไมโครซอฟท์ออกมาเผยฟีเจอร์ด้านความปลอดภัยของ Microsoft Edge โดยแยกออกเป็น 3 กลุ่มคือ ป้องกันปัญหา phishing (โดนหลอก), ป้องกันการถูกแฮ็ก (ไม่โดนหลอกแต่อยู่เฉยๆ ก็โดนโจมตี) และป้องกันปัญหาด้านหน่วยความจำ
ป้องกันปัญหา phishing
- รองรับ Microsoft Passport ช่วยยืนยันตัวตนแทนการใช้รหัสผ่าน
- ตัวกรองเว็บอันตราย SmartScreen จะถูกใช้งานกับทั้ง Microsoft Edge และ Windows Shell ป้องกันทั้งการเข้าเว็บอันตรายและดาวน์โหลดไฟล์อันตราย
- รองรับ Certificate Reputation ช่วยเช็คความน่าเชื่อถือของใบรับรองดิจิทัลอีกชั้น นอกจากการเช็คว่าเว็บนั้นถูกเข้ารหัส (กุญแจเขียว) เพียงอย่างเดียว
-
รองรับมาตรฐานเว็บ Content Security Policy ลดการโจมตีจาก XSS และรองรับ HTTP Strict Transport Security บังคับเบราว์เซอร์เชื่อมต่อแบบเข้ารหัสเสมอ
ป้องกันการถูกแฮ็ก
-
ยกเลิกระบบส่วนเสริมของเบราว์เซอร์แบบเดิมๆ ทั้ง VBScript, ActiveX, VML, Toolbar ตามข่าวเก่า, เปลี่ยนมาใช้ส่วนเสริมแบบใหม่ที่เป็น HTML5
- Microsoft Edge เองเป็นแอพแบบ Universal ที่ใช้ระบบความปลอดภัยแบบแอพใน Windows Store ต่างจาก IE ที่เป็นแอพ Win32 แบบเดิมที่เข้าถึงระบบปฏิบัติการได้มากกว่า
- Microsoft Edge จะทำงานในโหมด Sandbox ผ่าน App Container เป็นค่าดีฟอลต์ ดังนั้นต่อให้ถูกแฮ็กได้ ก็จะจำกัดความเสียหายแค่ไหน Sandbox เท่านั้น (IE ทำงานในโหมด Sandbox โดยดีฟอลต์เฉพาะเวอร์ชัน Metro เท่านั้น)
- Microsoft Edge คอมไพล์แบบ 64 บิต ดังนั้นการสุ่มตำแหน่งในหน่วยความจำ (Address Space Layout Randomization) ก็มีโอกาสกระจายตัวสูงขึ้น ลดความเสี่ยงจากการถูกแกะหน่วยความจำตรงๆ ลงได้
ป้องกันปัญหาหน่วยความจำ (Memory Corruption)
- ใช้เทคนิค MemGC (Memory Garbage Collector) ลดความเสี่ยงจากการดึงข้อมูลหลังคืนหน่วยความจำ โดยจะคืนหน่วยความจำเฉพาะก้อนที่ไม่ถูกอ้างถึง (no more references) แล้วเท่านั้น
- CFG (Control Flow Guard) เทคโนโลยีจาก Visual Studio ช่วยตรวจสอบและจำกัดการกระโดด (jump) เปลี่ยนตำแหน่งของพอยเตอร์ให้ปลอดภัยกว่าเดิม
นอกจากเทคนิคข้างต้นแล้ว ไมโครซอฟท์ยังเปิดโครงการ Windows 10 Technical Preview Browser Bug Bounty เพื่อเชิญให้ผู้เชี่ยวชาญด้านความปลอดภัยนอกบริษัท มาช่วยกันค้นหารูรั่วเพื่อแลกกับเงินรางวัลอีกด้วย
ที่มา - Microsoft Edge Dev Blog