5. Killbit和Phoneix Bit

Killbit是注冊表標志，告訴IE及其組件不要加載具有指定CLSID的控件。微軟通常會對存在安全隱患的控件或者那些因為某種原因而不應當加載到瀏覽器內(nèi)部的控件發(fā)出killbit。第三方也將這一機制用于安全和結束支持目的。

Killbit是一種阻止加載控件的有效方法，但可能會導致與已有內(nèi)容的兼容性問題(例如，燒錄到DVD上的HTML)。為了降低killbit的兼容性影響，設計了Phoneix Bit。在請求一個帶有killbit CLSID的控件時，這些標志將該請求發(fā)送到一個替代CLSID，從而可以有效地用新控件來代碼舊控件，保持與已有內(nèi)容的兼容性。

注意：

我最初以為Phoneix Bit是根據(jù)亞利桑那州的首府來命名的，后來才知道它們是根據(jù)腓尼基、埃及和希臘神話中的一種鳥來命名的。

6. 兼容性警告

對那些已知會導致IE掛起或崩潰的加載項，可以使用兼容性警告來阻止。這些加載項也許不能被攻擊，但加載它們可能導致安全漏洞或影響用戶的瀏覽體驗。為了對抗這些類型的加載項，IE在啟動時會禁用那些已知的不兼容加載項，并通過一個模式對話框來通知用戶。

1.7.4  隱私和社會工程保護

并不是所有的攻擊者都是精通技術的黑客；其中一些只是試圖誘導用戶做出錯誤的信任決定。IE采取了很多措施，通過使用用戶界面通知、文件和下載阻止、隱藏限制和客戶端腳本保護，以緩解針對用戶采取的社會工程攻擊。

1. 窗口和框架限制

為了保護用戶免受用戶界面欺騙，禁止腳本執(zhí)行一些可能會欺騙用戶以及傷害瀏覽器、數(shù)據(jù)和系統(tǒng)總體完整性的操作。例如，腳本不能關閉狀態(tài)欄或地址欄，在瀏覽器用戶界面上方彈出窗口(例如地址欄)，或者將窗口放置在屏幕外。

2. 惡意軟件和釣魚篩選器

在從Internet區(qū)域加載頁面或者下載文件時，IE將它的URL發(fā)送到自己的SmartScreen服務，以查看其中是否有已知的釣魚網(wǎng)站和惡意軟件。在頁面加載場景中，如果查找到該頁面，將會給出一個阻止頁面；而下載時，將會通過“不安全下載”對話框來阻止該文件(見圖1-26)。

圖1-26  SmartScreen阻止網(wǎng)站和下載警告

在每一種情況下，用戶都可以忽略IE的建議，不過要忽略這些建議需要另外付出一點工作量，通過“組策略”可以禁用忽略。在IE 8中，沒有公開的API可以用來訪問SmartScreen篩選器結果。

3. 隱私首選項平臺

W3C中的隱私首選項平臺(P3P)是一種選擇加入方法，用于將網(wǎng)站cookie策略與用戶或組織的隱私要求相匹配。從本質(zhì)上來看，P3P是一種隱私策略的XML版本，這種隱私策略在很多軟件中都是存在的，但它只涉及一個網(wǎng)站通過cookie來使用個人可識別信息(PII)的方式與位置。如果一個用戶或組織為網(wǎng)站實施了P3P要求，如果所訪問網(wǎng)站返回的P3P XML與這些要求沖突，就會阻止這些沖突cookie。這些設置是根據(jù)區(qū)域設定的。

cookie的加載項應當通過InternetSetCookieEx()API進行修改；這種修改方法確保能夠遵循在系統(tǒng)中所發(fā)現(xiàn)的P3P設置。

4.  彈出窗口阻止程序

到了Windows XP SP2上的IE 6，瀏覽器就包含了一種機制，用于防止從Internet區(qū)域頁面打開那些不是由用戶初始化的彈出窗口。IE使用一種專用算法來確定哪些彈出窗口允許打開，哪些不允許打開。用戶和開發(fā)人員可以在一個例外列表中添加或刪除站點。這一功能本身是使用URLAction或功能控制鍵來切換的。