• Thứ Hai, 08/11/2004 16:51 (GMT+7)

    Đến lúc sa thải IE?


    Một cách đối đầu với hiểm họa bảo mật là thay đổi trình duyệt.

    Mùa hè vừa qua, tổ chức US-CERT (United States Computer Emergency Readiness Team) thuộc bộ An ninh Mỹ đề nghị người dùng nên sử dụng một trình duyệt khác để giải quyết vấn đề bảo mật trong trình duyệt Internet Explorer. Có thể nào đây là dấu chấm hết cho sự thống trị của trình duyệt Microsoft?

    Xin bạn đừng đánh cược. Các lỗ hổng phát hiện gần đây trong trình duyệt Mozilla cho thấy, trình duyệt này không phải là miễn nhiễm (xem thêm "Trình duyệt nào an toàn"). Cũng vậy, Windows XP Service Pack 2 đưa ra nhiều bảo vệ mới chống lại các cuộc tấn công chuyên nhắm vào IE. Dầu vậy, bạn không biết lúc nào PC của mình bị tấn công, nên việc vá lỗi cho IE hay thay một trình duyệt khác không phải của Microsoft, cách nào cũng đem đến cho bạn sự an toàn hơn trước.

    Mục tiêu thường xuyên

    Ảnh hưởng của IE rất lớn: theo hãng phân tích WebSideStory tháng 6 vừa qua, thị phần sử dụng trình duyệt IE trên toàn cầu là 95%. Nhưng tính phổ biến này ngược lại cũng gây hại cho IE, và Microsoft là người phải hứng chịu mọi cuộc tấn công của các tay viết virus và sâu. Theo một hãng phân tích, dời sang một trình duyệt khác chỉ là một giải pháp tạm thời, vì nếu nhiều người dùng chuyển sang một trình duyệt khác thì các kẻ viết virus cũng sẽ nhắm đến trình duyệt mới đó. Tuy nhiên, việc thống lĩnh thị trường không phải là lý do duy nhất mà trình duyệt IE bị tấn công. Theo một chuyên gia, các tính năng mà riêng IE mới có đã làm tăng thêm hiểm họa trên mạng. Ví dụ các vùng an toàn (trusted zone) của IE; các điều khiển ActiveX và các đoạn mã cho các trang web dấu menu và toolbar của trình duyệt; và hỗ trợ Dynamic HTML. Các trình duyệt khác chỉ đơn giản không hỗ trợ các tính năng này.

    Microsoft vẫn tiếp tục đưa ra các bản sửa lỗi cho các lỗ hổng mới. Nhưng khi một lỗ hổng trước đây từng được sửa nay lại xuất hiện thêm một lần nữa trong bản sửa lỗi mới, có lẽ người dùng sẽ đắn đo để chuyển sang một trình duyệt khác. Vào đầu tháng 7, WebSideStory cho biết thời gian đó là lần đầu tiên thị phần của IE đã giảm xuống 94%.

    Tuy vậy, sự thống trị của IE vẫn không thuyên giảm. Nhiều tổ chức, nhiều công ty đã dựa trên các mã và mở rộng HTML của Microsoft để xây dựng trang web của họ, và chỉ khi sử dụng IE thì người dùng mới duyệt được đầy đủ nội dung trang web ấy. Và ngay cả khi bạn thiết lập một trình duyệt mặc định mới thì vài tính năng của Windows như cơ chế Windows Update, Windows Messager và Outlook Express vẫn phải cầu viện đến IE, dù cho trình duyệt mặc định của bạn đang dùng là gì đi nữa.

    Giải pháp thay thế

    Mặc dù có nhiều bản báo cáo trái ngược nhau nhưng US-CERT không khuyến cáo bỏ đi trình duyệt IE. US-CERT cũng không đề cập đến một trình duyệt cụ thể nào nên thay thế. Thay vào đó, US-CERT đề nghị chỉ sử dụng cách này như là phương thuốc cuối cùng để đối đầu với một loại tấn công đặc thù mà một trang web trong Internet Zone (nơi IE đưa ra một số phương thức phòng vệ) có thể lừa IE chạy mã Javascript trong vùng Local Machine Zone được xem là ít an toàn nhất.

    Các phương pháp khác mà US-CERT kiến nghị gồm có:tắt Active scripting (gồm cả Javascript) và các điều khiển ActiveX trong cả vùng Internet và Local Machine Zone; cập nhật bảo mật cho Microsoft Outlook; gửi và nhận mail sử dụng định dạng thuần văn bản (plain-text); sử dụng chương trình chống virus; và tránh đến những liên kết được nhúng trong e-mail tự gửi đến hộp thư, tin nhắn IM hay các diễn đàn trên web. (Xem thêm bài "Tạo thói quen cẩn tắc vô áy náy khi đọc thư điện tử" trên TGVT A tháng 8/2004, trang 118).

     

    TRÌNH DUYÊT NÀO AN TOÀN
    Các trình duyệt thay thế chắc hẳn không thể một sớm một chiều có thể làm lu mờ được hình ảnh IE của Microsoft nhưng điều này cũng không có nghĩa là các trình duyệt đó không thể thay thế nổi. Bản báo cáo của US-CERT cho rằng, đa phần các lỗ hổng bảo mật trong công nghệ đều liên quan đến mô hình bảo mật Domain/Zone, đến mô hình đối tượng DHTML,đến việc xác định loại

     

    Các tab trên trong trình duyệt Firefox cho bạn chuyển qua lại giữa các trang web một cách dễ dàng.

     

     MIME (Multipurpose Internet Mail Extension) và ActiveX. Bản báo cáo cũng nói, để giảm lỗ hổng bảo mật, người dùng nên chuyển sang dùng các trình duyệt khác, đặc biệt khi lướt đến những vùng untrusted zone.
    Dùng trình duyệt khác cũng có thể thay đổi cách bạn lướt web. Một mặt, chúng có thể ngăn bạn mở trang web nào đó chỉ được thiết kế trên nền IE. Mặt khác, bạn có thể sẽ ngạc nhiên khi trình duyệt thay thế có vài tính năng mà IE không có, như công cụ quản lý mật mã và cửa sổ trình duyệt ở dạng tab. Opera cho biết, người dùng trình duyệt Opera không quan tâm nhiều đến tính năng mới nhưng quan tâm chính đến sự an toàn. Người dùng tải trình duyệt Opera về ngày càng nhiều, cả số lượng bản miễn phí lẫn bản thương mại. Số lượng tải trình duyệt Mozilla của Mozilla Foundation và Firefox cũng tăng.
    Sử dụng trình duyệt không phải của Microsoft cũng không chắc đảm bảo an toàn. Gần đây, các kẻ tấn công cũng phát hiện lỗ hổng trong cả trình duyệt Opera lẫn Mozilla (kể cả Netscape). Dầu vậy, ta vẫn phải thừa nhận rằng những trình duyệt này ít bị tấn công hơn nhiều so với IE.

    Mặc dù khuyến cáo của US-CERT cuối cùng cũng đề xuất việc chuyển sang dùng trình duyệt khác, nhưng tổ chức này lại nói rằng người dùng có thể sẽ không sử dụng được hết các tính năng của các trang web xây dựng trên nền IE. Do đó, giải pháp này cũng không đánh đuổi được IE. Còn các chuyên gia khác khuyên rằng đơn giản ta chỉ việc thêm các trang web tên tuổi và hợp pháp vào vùng Trusted Zone của IE sau khi thắt chặt bảo mật trong vùng Internet và Local Machine Zone.

    Những lo ngại về lỗ hổng của IE có thể giảm xuống đôi chút khi người dùng cài đặt thêm Windows XP Service Pack 2 xuất hiện đầu tháng 8 vừa qua. SP2 kết hợp với các tính năng mới trong IE bảo vệ người dùng khỏi các đoạn mã xấu tự cài đặt khi duyệt trang web. SP2 cũng ngăn chặn không cho các trang web can thiệp vào giao diện của IE, như dấu các thanh trạng thái và địa chỉ hiển thị địa chỉ thực nhằm tạo cho trang web giả trông đáng tin hơn (mưu mẹo này còn có tên gọi là Phishing, các e-mail hay trang web thường làm giả các trang về ngân hàng hay các tổ chức tài chính để lấy cắp thông tin tài khoản của người dùng).
    Dù vậy, bản sửa lỗi mới của Microsoft không phải là thuốc chữa bách bệnh. Sau khi đã cài SP2, người ta phát hiện vài cuộc tấn công mới. Dù gì đi nữa, có SP2 cũng ngăn chặn được phần lớn hiểm họa này.

    PC World Mỹ 10/2004

    ID: A0410_18