对Internet Explorer的批评

软件批评

Internet Explorer是一款招致了许多批评的网页浏览器。大部分批评都集中在其安全架构以及对开放标准的支持程度上。

对其安全性的批评

Internet Explorer的安全性已被来自電腦安全研究社群全面审查,部分原因是因为市场被其独占。Internet Explorer的安全漏洞已经使得其成为主流浏览器中較不安全的一个。

2005年6月20日,安全咨询网站Secunia列出了 Internet Explorer 6 的20个无补丁的安全漏洞[1],在每一个安全级别中,绝大部分漏洞存在的时间都比其他浏览器的时间长,但其中的一些漏洞只會影响特定版本的 Windows 上的某些 Internet Explorer 或是在与某些其他应用程序结合时才会暴露。

另一安全咨询网站SecurityFocus列出了存在于Windows XP Service Pack 2的Internet Explorer 6中27个无补丁安全漏洞[2]。在Windows XP SP2上的早期Windows中存在更多。

2004年6月23日,一个目的在于大公司 IIS 服务器的攻击即是通过使用 Internet Explorer中两个先前未发现的漏洞,借以在不知情的大量最终用户的浏览器中插入垃圾邮件发送软件而成[3][4][5]。该恶意软件被定名为Download.ject,它会在用户浏览网页时偷偷电脑中安装后门以及一个键盘击键记录软件。被感染的电脑包括许多金融網站。

Art Manion 是美国电脑紧急相应小组(US-CERT)的一名代表,他指出 Internet Explorer 6 SP1 的许多设计使得 Internet Explorer 6 天生就不可能安全,他说道:

Manion随后声名他的讲话大部分是相对于2004年发布 SP2 前的,并且其他浏览器也开始在上述CERT文件中面临类似的问题[7]

值得注意的是XP SP2所提供的一些功能对于先前版本的Windows并不可用,它们包括 Windows 9x,NT 和 2000。

另外,一些与Internet Explorer相关的安全漏洞也令需要的Windows用户突破安全权限。一个例子是,在Windows XP中,缺省时系统是不允许普通用户组(User用户组)的用户以管理员组(Administrator用户组)权限进行特权操作的。但实际上,这种情况下骇客可以运行一个专用代码实现对电脑操作系统的完全控制。这种破解行为也将导致任何浏览器以不受限的特权状态运行。对于其他系统普通用户的日常操作来说,使用超级用户(Power User用户组)进行日常操作是不明智的,但攻击者可以依赖于Windows系统中这个处于不适当级别的浏览器进程。然而,也有许多Windows中的程式离开管理员特权无法运行或效果变差,所以其他系统中的正常操作可能对于Windows用户来说是不切实际。

许多的安全分析者指出IE经常爆出严重漏洞是因为它独占市场份额,所以骇客把其优先作为攻击目标。然而,也有许多批评指出这种说法是不全面的;Apache网络服务器的市场份额比微软IIS要高,但Apache几乎没有安全漏洞,就算有也相较IIS说是很轻微[8] Mundie曾经承认微软公司的产品「对常态而言是不安全的」而这是因为微软「设计时更注重功能而非安全」[9]

结果这样导致许多问题,一些安全专家,包括Bruce Schneier [10]以及开源倡导者David A. Wheeler [11],推荐广大用户停止使用Internet Explorer作为日常浏览器,而转换其他浏览器作为替代。一些技术专栏作家也建议过类似的话[12] [13]。2004年6月6日,US-CERT发布的漏洞报告建议立即停止使用IE而该用其他,尤其是访问非信任站点时更应如此[14]。2004年12月,宾夕法尼亚大学发布的一篇文章告诫学生和员工马上丢弃使用IE并改用其他浏览器[15]

组件对象模块

许多的IE安全问题皆与组件对象模块(COM)相关。IE通过ActiveX浏览器帮助对象(Browser Helper Object)将COM深植其中。这种功能的结合为电脑病毒特洛依木马程序以及间谍软件的进入大开方便之门。

这些恶意软件的攻击与传遍通常皆要利用ActiveX。微软早已经认识到这一问题,1996年Charles Fitzgerald-微软的Java团队程序负责人曾说,「如果你想在『網路上』安全,请关掉你的电脑。我们从来没有准备让ActiveX安全。[16]

ActiveX控件,一旦运行,即可获得用户特权而非像其竞争技术(如Java与JavaScript)那样被限制的运行。ActiveX控件一如既往的是一个非标准的不可在非Windows平台上移植的技术。一份普林斯頓大學教授Edward Felten的文章指出页面存档备份,存于互联网档案馆):

ActiveX的安全依赖于安全区域的设置和数字签名,而没有类似沙盒以及元政策的指导[18]

ActiveX的安全问题首次被发现是在1997年,混沌電腦俱樂部(Chaos Computer Club)这家机构展示了一个可以与用户手持设备中IntuitQuicken金融软件自动进行连接的ActiveX控件,这个程序会自动将用户帐号上的钱转移至CCC的银行帐号[20]

美国国防部(DoD)已经将ActiveX定义为1类(最危险)的移动代码技术,并严格限制ActiveX在DoD系统内的使用[21]

也有专家认为ActiveX的风险被过分夸张了,而其实ActiveX是有安全机制的。eWeek的Larry Seltzer指出:

已发布的Windows Defender可以监视Windows 2000,XP and Server 2003下IE中的BHO,并对欲新安装BHO对用户作出警告。

补丁

很多人批评IE常常在发现问题很长时间後才发布对应的补丁,而且发布的补丁常常不能完全修复漏洞。如微软在2003年2月发布初始报告後200天才发布出补丁(而不是30-60天),Marc Maifrett,eEye Digital Security的Hacking部门主管说过:“如果它们真的需要花费如此长的时间来修复(以及测试),那么他们还有别的问题。这不是一个软件公司的运作常态。[23]The Register则批评Maifrett公布的安全漏洞导致了CodeRed在那年的流行,也有人认为:「如果他们没有发现引起公众慌乱、ida漏洞或是他们的SecureIIS产品有能力防卫,红色代码蠕虫就不会感染数千台系统。[24]

微软将他们的延期归咎于区域测试。公司对Internet Explorer进行测试的软件是复杂而完全的。IE浏览器以26种不同语种发布在不同的Windows平台上。因此,对每个补丁的测试估计需要进行最少237次安装页面存档备份,存于互联网档案馆)。

虽然安全补丁持续在不同平台上发布,但现今大部分补丁只针对Windows XP发布。

间谍软件·广告软件与Windows XP SP2

间谍软件广告软件,如同其他的恶意软件一样,通常把目标对准Windows/Internet Explorer为基础的作业系统。较旧的间谍软件对系统的危害已经因为Windows XP SP2的安全增强而有所缓解,但对IE新型的攻击会在SP2上安装间谍软件。微软不建议在已经感染间谍软件的系统上安装SP2,因为这可能导致不能自举:

視已安裝的間碟軟件而定,在SP2更新準備工作中,我們可透過反間諜工具移除間碟軟件或在一些嚴重情形中,需要手動修改登錄檔(Windows Registry)。 然而,保安專家普遍建議安裝Service Pack 2。

對其不支援開放標準的批評

 
The Internet Explorer box model bug in quirks mode

在1990年代的瀏覽器戰爭時代,Internet Explorer與Netscape Navigator都不得不致力於在瀏覽器中添加非標準功能。這與近來以web標準設計的瀏覽器形成鮮明對比。在版本號5後,IE的Trident渲染引擎幾乎沒有進行過重大修改。結果在2005年,IE在支持標準上已經大大落後。

雖然每一個版本的IE都會改善基本支援,包括在版本6中引採用的「符合標準模式」,其中用來建立網頁(HTMLCSS)的核心標準卻仍然是以不完全且不正確的方式來實作的。舉例來說,它不支援<abbr> 元素,但這是HTML 4.01 標準的一部份,而且它對CSS1標準中的float-margin部分的實作有缺陷。Internet Explorer盒模型错误是Internet Explorer對CSS標準的實作中,最為人熟知的缺陷之一。

由於它在市場上的主導地位,使得某些網頁開發人員只用Internet Explorer來測試他們的網站。某些開發人員也使用Internet Explorer所提供的非標準擴充套件。這導致網頁無法被其他瀏覽器正確地解讀。最糟糕的情況下,它可能會阻擋其他瀏覽器的使用者存取這些開發人員所建立的網站。

雖然Netscape已經停止開發Netscape Navigator,微軟的Internet Explorer因而取得了非常大的市場佔有率,而後開發Netscape Navigator的程式員與一些不滿Internet Explorer的技術人員創立了Mozilla組織並以Netscape Navigator作基礎開發了Mozilla Application SuiteMozilla Firefox

圖像標準

由於IE不支援PNG圖像的Alpha通道,導致PNG圖像格式在网上使用率的減少。雖然只是一個可選的特性,Alpha通道卻是把PNG與其他像GIF或者JPEG這樣的格式相區別的一個特色。 在Internet瀏覽器中,透明的部分的形象將被顯示作為灰色,白或者其他顏色。

隔行或漸進顯示對於過去大量使用的撥號上網頻寬非常有限的用戶非常有用。不過,Internet Explorer的圖像不支持於未完成下載時開啟。但由於宽带因特网连接的引進,現在這問題已沒那麼重要。

XHTML

HTTP與MIME

不像其他瀏覽器,Internet Explorer不允許MIME在Content-Type信頭段中定義MIME類型。比如一個純文本格式的檔內包含了HTML樣式的標記就會被識別為HTML文檔,而不是純文本文檔。但在這種情況下,可以通過手動修改註冊表的方式強行改變執行行為。

JavaScript與DOM

微軟擴展了原先網景的JavaScript並專稱其為JScript,JScript是Internet Explorer的缺省腳本語言。與Netscape's JavaScript有相似的實現,JScript支持ECMAScript的完整規範,互聯網上唯一的標準化腳本語言。

最大的不同在於與JScript綁定的文档对象模型(DOM)。

Unicode

Internet Explorer對多語言文本支援Unicode標準,因此其理論上有能力顯示任何已經安裝字體字元。但實際上,Internet Explorer不會對混和Unicode文本自動選擇字體。這種情況下字元可能會以一個空格結束或顯示為問號。

網頁設計者必須猜測在用戶電腦上顯示哪種字體最為合適,如果需要改變就需要對每個Unicode塊進行手動改變。而對其他瀏覽器卻可以自動完成這個操作。

以Unicode之中的英文的音標為例,當網頁中,欲顯示的音標字串的前後有使用所包起來時。IE6以前的版本,無法正常顯示出英文的音標。但IE7則已修正了此Bug。

其他批评

随着版本的更新,Internet Explorer的下载大小也显著增大。对于Internet Explorer 6 Service Pack 1页面存档备份,存于互联网档案馆)(包括Outlook Express)来说,其典型安装时的下载大小已经接近25MB。它的大小从11MB(最简安装)到75MB(完全安装)不等。这大大超过了一另一些网络浏览套装(Internet suites)的大小,例如(基于Windows installer)Opera 8.0(3.6MB)、Mozilla Suite 1.7.8(11MB)、Mozilla Firefox 1.5.0.6(4.9MB)和SeaMonkey 1.0.4(12MB)。

一个较小但似乎很有意思的批评是软件名称中Internet这个单词的使用。严格地说,Internet Explorer是为万维网(World Wide Web)而不是为整个包含了電郵UsenettelnetIRC等的因特网(Internet)而设计的。由于这种以因特网(Internet)来代替万维网(World Wide Web)的误导性使用,许多对因特网没有足够了解的用户可能会认为使用Internet Explorer是进入因特网的唯一途径。

參考資料

  1. ^ 20个无补丁的安全漏洞列表。. [2005-08-20]. (原始内容存档于2008-08-20). 
  2. ^ Internet Explorer 6 中 27个无补丁安全漏洞. [2005-08-20]. (原始内容存档于2016-03-04). 
  3. ^ Researchers warn of infectious Web sites页面存档备份,存于互联网档案馆), May 12, 2005.
  4. ^ Handler's Diary May 11th 2005页面存档备份,存于互联网档案馆), May 12, 2005.
  5. ^ An analysis of the Ilookup Trojan页面存档备份,存于互联网档案馆), May 12, 2005.
  6. ^ 美国电脑紧急相应小组 Internet Explorer 6 SP1 的資料. [2005-08-20]. (原始内容存档于2021-03-30). 
  7. ^ 存档副本. [2005-08-20]. (原始内容存档于2020-09-08). 
  8. ^ 存档副本. [2005-08-20]. (原始内容存档于2006-04-05). 
  9. ^ 存档副本. [2005-08-20]. (原始内容存档于2008-07-24). 
  10. ^ Safe Personal Computing页面存档备份,存于互联网档案馆), May 12, 2005.
  11. ^ Securing Microsoft Windows (for Home and Small Business Users)页面存档备份,存于互联网档案馆), May 12, 2005.
  12. ^ How to Protect Yourself From Vandals, Viruses If You Use Windows页面存档备份,存于互联网档案馆), May 12, 2005.
  13. ^ Internet Explorer Is Too Dangerous to Keep Using[失效連結], May 12, 2005.
  14. ^ 存档副本. [2005-08-20]. (原始内容存档于2021-03-30). 
  15. ^ 存档副本. [2005-08-20]. (原始内容存档于2008-03-27). 
  16. ^ 存档副本. [2005-08-20]. (原始内容存档于2006-08-10). 
  17. ^ 存档副本. [2005-08-20]. (原始内容存档于2010-06-28). 
  18. ^ 存档副本. [2005-08-20]. (原始内容存档于2007-07-11). 
  19. ^ 存档副本. [2005-08-20]. (原始内容存档于2023-03-25). 
  20. ^ 存档副本. [2005-08-20]. (原始内容存档于2021-04-10). 
  21. ^ 存档副本. [2005-08-20]. (原始内容存档于2006-07-26). 
  22. ^ http://www.eweek.com/article2/0,1759,1785769,00.asp[失效連結]
  23. ^ 存档副本. [2005-08-20]. (原始内容存档于2006-05-31). 
  24. ^ 存档副本. [2005-08-20]. (原始内容存档于2019-11-16). 
  25. ^ http://www.microsoft.com/windowsxp/using/security/expert/russel_installsp2.mspx

外部链接