Windows XP SP2对IE安全方面的影响

　　在很大程度上，Windows xp sp2专注于安全性的提高上，但是这些带来的影响不一定有想像的那么好。例如，SP2带来的几个关键改变：IE内置弹出窗口拦截器（pop-up blocker）和IE插件管理器（Add-on Manager）。　　　 　　每个人都谈论它：经过长时间的等待Windows XP SP2发布了。虽然它已经在这儿了，但你可能会为是否立刻安装它而犹豫。它会给你的系统带来什么变化？你是喜欢这些变化？本文是一系列讲述SP2对Windows XP及其组件有何影响的专题中第一篇，主要讲述SP2对IE的作用。 　　　　让人惊喜的新特性　　SP2使IE浏览器发生了很大的改变，那么它是如何工作的呢？其中一些对终端用户和对此感兴趣的WEB开发者是透明的。其它一些变化会另用户在一开始时就有挫败感，比如，普通Web站点的功能被打破就是需要在安全性和易用性之间要不停权衡的事。不管怎样，SP2为IE增加了几个新功能，并受到了所有用户的注意和欢迎：内置弹出窗口拦截器（pop-up blocker）和IE插件管理器（Add-on Manager）。 　　　　弹出窗口拦截器（pop-up blocker）　　弹出式广告对于所有的网上冲浪的人都是一种切实的毒害。这种弹出式的网页窗口就象瘟疫一样，掩盖了原来的站点，并强迫你花时间关闭每一个窗口。你可以购买像IHatePopups这类的工具或者下载免费的工具，比如：带有抵制弹出式广告技术的Google toolbar，但是我们中的很多人都惊讶为什么微软不在其浏览器中加入弹出式窗口拦截功能呢，特别是在其他的浏览器供应商，如：Mozilla和Opera都加入了这个特性之后。　　　　不过最终微软终于这么做了：SP2在IE中添加了弹出窗口拦截器，我的测试显示它工作正常。我访问了一个流行的新闻网站，当弹出式广告出现时，这是最糟糕的网站之一，我听到一串滴答声，这表明IE正在拦截弹出式广告。这个信息显示在地址栏里，提示我弹出窗口被拦截了，如图A所示。　　　　　图A：新的IE弹出窗口拦截器在成功拦截弹出窗口后发出通知　　如果你想了解弹出式的拦截窗口，你点击整个信息条，你会看到几个选项，如B图显示，特别是你可以选择：　　　　临时的弹出　　　　在访问这个站点时总是允许弹出　　　　改变弹出窗口拦截器的设置　　　　　图B：点击弹出窗口通告条你可以得到一系列选项　　你可以通过取消选择Show Information Bar For Pop-Ups选项来关闭信息条（notification bar）。如果你关闭信息条，弹出式的拦截窗口会以图标的形式显示在状态条上通知你拦截弹出。 提示：这个信息条也可以为以前显示的内容提供信息或选项，如询问用户是否要下载active控件等。关掉弹出式通告条不会关闭其他通知。　　　　如果你想关闭弹出拦截对话框（缺省情况是打开的），可以在弹出通告条（notification bar）的菜单中实现，或者点击"Tools | Pop-up Blocker or click Tools | Options"，选择"隐私"（Privacy tab）项。去掉页面底部的"弹出式对话框（Block Pop-ups）"选项，如图C所示。　　　　　图C：你可以通过Tools | Options | Privacy选项卡打开或关闭弹出窗口拦截器　　如果你单击Settings键或者进入Tools | Pop-up Blocker菜单，你能输入允许弹出窗口的站点的URL，如图D所示。你也能选择在拦截弹出窗口时是否用有声音来提示或者是否在信息条里显示。　　　　最后，你还能设置三种过滤器级别：　　　　高级（拦截全部弹出，但你可以通过按住[Ctrl]键来使一个特殊站点弹出窗口）　　　　中级（拦截大多数自动弹出） 　　　　低级（允许安全站点的弹出）　　　　　图D：你可以允许特殊站点弹出窗口而不被拦截并设置过滤级别　　提示　　IE无法阻止本地的企业内部网（Local Intranet）和安全站点（Trusted Sites）的弹出页面。如果想阻止上述站点的弹出页面，则必须将网站从受信列表中删除。　　　　IE插件管理器（Add-on Manager）　　另一个很受欢迎的功能就是IE插件管理器。它会显示一个浏览器已安装插件的列表。许多插件增强了浏览器的功能（如：第三放弹出窗口拦截或者搜索引擎工具），但许多间谍软件（spyware）是被当作插件来安装的，有时是在你不知道的情况下。要想打开插件管理器，可以通过点击Tools | Manage Add-ons。　　　　在插件管理器的窗口，如图E所示，你可以看到所有IE已经使用的插件列表（这些都已经安装，不论是否装载或已卸载）或者只看现在装载了的。你可以在下拉菜单中选择查看哪部分。　　 　　图E：Add-on Manager查看和禁止浏览器的一些插件　　如果想禁止某个插件，只需要在列表中选取它，然后点击对话框底左下的"可用"或"不可用"按钮。你也可以通过对话框右下角的在列表中选取并点击Update ActiveX按钮来更新ActiveX控件。　　　　SP2还附加了一个特性就是插件破坏保护（Add-on Crash Detection）。如果一个插件导致了IE的关闭，这个功能使你可以选择禁止或者升级这个插件。　　　　附加的安全功能　　SP2安装的另一些IE特性可能对用户是不可见的，但是它可以使Web浏览器更安全更可靠。这些包括： 　　　　　　本地计算机锁定（Local machine zone lockdown）　　　　对象缓存（Object caching）　　　　下载、附件的改变和受信代码的处理　　本地计算机锁定　　每个的网站都有不同级别约束的安全区域，这是基于站点需要有多安全来设置的。本地计算机组是不受怀疑的，包括本地计算机上所有的内容。没有安装SP2的XP电脑，本地计算机组意味着会受到最少的限制，因为位于你本地硬盘上的文件被假定为安全的。　　　　不过，黑客会利用这种假定，所以SP2锁定了本地计算机组。默认情况下，本地计算机组会比Internet组受到更多限制。这会影响到IE的一些主要功能和一些脚本和应用的运行。动态内容可能无法像预期那样显示。但是，信息条会在文件受限制时发出通告，你可以点击它解除锁定。　　　　媒体的缓存　　Web对象（HTML页面，图型文件，声音文件，脚本，等等）会在缓存在用户的硬盘上以保证好的性能。当一个用户试图访问缓存中的Web内容时，内容将从本地缓存中下载，而不是从Web服务器上下载，因而加快了访问速度。　　　　如果没装SP2，有可能访问一个Web页面的访问被缓存在一个其它的Web站点中。这导致了一个可能被利用的安全漏洞。 SP2更正了这点，这样当你访问一个不同域（domain）的网站时，这个站点就不能访问原来域中的缓存对象。访问脚本对象，如果上下文变化了，那么因为你浏览了不同的域，也被将阻止于本域内。依照微软的说法，这可能会影响小部分的应用程序，缓存访问错误。　　　　下载、附件和受信代码的处理　　当你下载上传文件时，很多相关的信息被添加到出现的对话框中。在你打开这个文件之前，受信代码（Authenticode）对话框给你提供关于出版商的签名文件。