Schweizer IT Professional und TechNet Blog

Schweizer IT Professional und TechNet Blog

Unsere BESTE Webbrowser Version ist da und wartet auf Ihren Einsatz (aka IE8 Beta2)

Unsere BESTE Webbrowser Version ist da und wartet auf Ihren Einsatz (aka IE8 Beta2)

  • Comments 3
  • Likes

Heute ist es soweit, die neueste (und beste...) Version von Internet Explorer 8, BETA 2, steht zum Download und Einsatz bereit - http://ww.microsoft.com/ie8.

Internet Explorer 8 BETA 2

Die Version ist momentan in Englisch, Deutsch, Chinesisch und Japanisch verfügbar (21 weitere Sprachen folgen per Mitte September). Während die IE8 Beta 1 primär für Entwickler als Pre-View gedacht war, ist nun die IE8 Beta 2 für Konsumenten optimiert. Wir benutzen IE8 Beta 2 bereits intern und ich kann Ihnen den Einsatz durchaus empfehlen, diese Browser Version ist schnell, sicher und bringt einige nützliche Neuigkeiten für den täglichen Gebrauch.

Nützlich finde ich persönlich zum Beispiel:

  • Auto Complete Suggestions / Smart Address Bar:
    bereits beim Eintippen von URLs in der Adresszeile erscheint ein Fenster mit Vorschlägen von URLs auf Basis von meinen Favoriten und History
  • Search Suggestions:
    auch das Search Fenster (oben rechts) beinhaltet die Autocomplete Suggestions. Weiter werden je nach Search Provider auch weitere Vorschläge angezeigt (z.B. Live Search Suggestions, Wikipedia Suggestions, ...). Ebenfalls nützlich sind die Search-Provider Icons, mit welchen via einem einzelnen Klick die gleiche Suchanfrage auf einem anderen SuchProvider (Live, Google, Yahoo, Wikipedia, ...) durchgeführt werden kann (ging schon vorher, aber jetzt ist es noch hübscher und schneller)
  • Accelerators:
    Wenn man einen Bereich im Browserfenster selektiert, erscheint ein neuer blauer "Smart Tag". Wenn man darauf klickt, erscheinen entsprechende "Accelerator" Funktionen, wie z.B. "Definieren mit Encarta", "Uebersetzen mit Live", "Anzeigen in Live Maps", etc.. Weitere Accelerators können über die Internet Explorer Gallerie gefunden, runtergeladen und genutzt werden -- fehlt Ihre eigene Website/Dienst noch auf dieser Gallerie?
  • Web Slices:
    dies ist ebenfalls ein brandneues Konzept. Damit wird es möglich (falls die Website das entsprechend implementiert hat) ähnlich wie ein RSS Feed, einen Teilbereich der Website als WebSlice zu abonnieren (ist vorallem für Bereich sinnvoll, die sich häufig ändern -- wie eine Auktion bei Ebay o.a.). Sie erhalten ein neuer "Favorite" welcher festhält, ob sich was geändert hat und falls ja ist der Webslice optisch verändert. Wenn man auf den Slice klickt, erscheint "nur der Slice" (der Teilbereich) der Website, für welchen man sich interessiert.
  • Tabs:
    Tabs sind nicht neu, aber mit IE8 Beta 2 werden die Tabs besser verwaltet. Stellen wir uns vor, dass wir zwei Tabs öffnen. Einen Tab mit Tages-Anzeiger, einen weiteren mit NZZ. Innerhalb des Tabs surfen wir durch die Websites. Wenn wir auf einen interessanten Artikel stossen, eröffnenn wir einen neuen Tab mit diesem Artikel um den später lesen zu können (right klick, open as new tab). Neu daran ist, dass diese Tabs nun farblich gleich eingefärbt werden und auch defaultmässig als Block zusammen bleiben. So behält man einfach den Ueberblick, welche Tabs zu welchen Websites gehören.

    -> Ist Ihnen das auch schon passiert? -- Viele Tabs sind offen und sie räumen etwas auf... aber dummerweise haben Sie den lange gesuchten Content innerhalb eines Tabs schon geschlossen? Mit IE8 Beta 2 können Sie die Tabs (und ganze Sessions) wieder öffnen -- beim Schliessen des Browserfensters werden Sie zudem gefragt, ob sie alle Tabs schliessen wollen, oder nur den aktuellen.

    -> wenn Sie einen neuen Tab aufmachen erscheint eine sinnvollere Default Seite, von wo aus Sie die Möglichkeit haben die letzte Browser Session wieder zu öffnen, einen Accelerator zu nutzen u.a.  -- wirklich nützlich
  • Sicherheit:
    IE8 Beta 2 bring viele tolle Sicherheits Funktionen, die es so im Markt sonst nicht gibt. Dazu gehören Smartscreen Phishing und Malware Filter, Domänen Highlighing (damit Sie auch bewusst sehen, welche die "echte" Domäne ist), und ein Cross-Site Scripting Filter

  • "intelligentes" Löschen der Browser History:
    von Zeit zu Zeit ist es sinnvoll die Browser History zu löschen, neben temporären Internet Files gehören dazu aber auch Cookies und die History der Website die man besucht hat. Leider werden damit auch Cookies gelöscht, die man gerne behalten hätte. Neu gibt es die Möglichkeit Cookies, temporäre Internet Files zu behalten, wenn diese im Favoriten Folder sind.
  • In Private Modus:
    die Medien haben diese Funktion auch schon "Porno-Mode" genannt... Naja, aber trotzdem ist dieser Modus durchaus eine sinnvolle Möglichkeit, wenn man ganz sicher sein will, absolut keine Spuren zu hinterlassen. Wie ist es zum Beispiel, wenn Sie nicht auf Ihrem privaten PC (z.B. im Internet Kafe o.a.) Ihr Internet Banking o.a. durchführen wollen? -- Hierzu hilft Ihnen der IE8 In Private Mode keine Spuren zu hinterlassen.

 

Tönt doch gut, oder? -- Versuchen Sie es doch gleich selber und installieren Sie IE8 Beta 2 (wenn Sie bereits IE8 Beta 1 installiert haben, muss diese Version vorgängig de-installiert werden -- Sie finden diese unter "installed updates").

 

Da mit IE8 auf die HTML und CSS Format Standards setzt, kann es durchaus (noch) sein, dass wenn Sie mit IE8 auf eine Website surfen, diese nicht optimal dargestellt wird, da diese noch auf IE7 "optimiert" wurde. Es gibt zwar im IE8 einen Knopf, mit welchem man den IE7 Rendering Modus nutzen kann und entsprechende Sites auch zu "IE7-Favorites" dazufügen kann, damit man diesen Schritt nicht jedes Mal wiederholen muss (übrigens wird defaultmässig Intranet noch mit IE7 Modus angezeigt). Mittel und Längerfristig macht es natürlich Sinn, die Neuerungen, welche mit IE8 geboten werden auch zu nutzen (Accelerators, Web-slices, etc.). Wenn Ihre Website auf IE7 optimiert ist und nicht kurzfristig modifiziert werden kann, macht es aus ITPro Sicht deshalb Sinn, wenn Sie die Website markieren, damit diese Site auch mit IE8 im IE7 Modus gerendert wird.

Wie gehen Sie vor?

Pro Site fügen Sie einen custom HTTP Header ein, welchen IE8 mitteilt diese Website wie mit IE7 zu rendern. Dieser HTTP Header lautet:

X-UA-Compatible: IE=EmulateIE7

Hier ein Beispiel wie Sie diesen Header unter Windows Server 2008 und Internet Information Services 7 einfügen:

  • Klicken Sie Start, dann Administrative Tools, und dann Internet Information Services (IIS) Manager.
  • Unter Connections, Doppel-Klick auf den Server, welchen Sie wollen, dann einen Doppel-Klick auf Sites.
  • Klicken Sie die gewünschte Web Site in welcher Sie den Custom HTTP Response Header einfügen möchten.
  • Unter Web site name Home, Doppel-Klicken Sie  HTTP Response Headers in der IIS Section. 
    Anmerkung: In diesem Schritt ist Web site Name der Name der Website...
  • Unter Actions, klicken Sie Add.
  • Bei Name fügen Sie dazu: X-UA-Compatible
  • Bei Value fügen Sie dazu: IE=EmulateIE7
  • Klicken Sie OK.

Sie können auch das IIS7 Configuration File mit den folgenden Details anpassen (oder nach der Aenderung das Config File überprüfen).

<system.webServer>
<httpProtocol>
    <customHeaders>

     <add name="X-UA-Compatible" value="IE=EmulateIE7" />

   </customHeaders>

</httpProtocol>
</system.webServer>

Um diesen Header unter IIS6 (und früheren Versionen) einzufügen, machen Sie diese Schritte:

  • Klicken Sie Start, dann Run, tippen inetmgr.exe ein und klicken OK.
  • Gehen Sie auf den gewünschten Server und erweitern den Punkt Web Sites.
  • Rechts-Klicken Sie die gewünschte WebSite und gehen auf Properties.
  • Unter Custom HTTP headers, klicken Sie Add.
  • Im Custom header name, fügen Sie ein: X-UA-Compatible
  • Im Custom header value, fügen Sie ein: IE=EmulateIE7
  • Klicken Sie zweimal OK 

Weitere Informationen über den "Emulate IE7 Tag" finden Sie auf:

http://blogs.msdn.com/ie/archive/2008/06/10/introducing-ie-emulateie7.aspx

Comments
  • http://www.microsoft.com/windows/internet-explorer/beta/tech-resources.aspx

  • Auf dieser Microsoft Download Site können Sie vorbereitete VHD Files für Ihre Browser Tests runterladen (Virtual Images sind gültig bis JANUAR 2009)

    http://www.microsoft.com/downloads/details.aspx?FamilyId=21EABB90-958F-4B64-B5F1-73D0A413C8EF&displaylang=en

    IE6-XPSP3_VPC.exe contains a Windows XP SP3 with IE6 VHD file

    IE7-XPSP2_VPC.exe contains a Windows XP SP2 with IE7 VHD file

    IE8B2-XPSP3_VPC.exe contains a Windows XP SP3 with IE8 Beta 2 VHD file

    IE7-VIS1.exe+IE7-VIS2.rar+IE7-VIS3.rar contain a Vista Image with IE7 VHD file.

  • Now that Beta 2 has released, I want to provide a short update on some of the smaller security changes the team has recently made. I’ve also linked to a great article on the IE8 XSS Filter implementation written by the architect of that feature.

    Restricting document.domain

    The document.domain property initially returns the fully qualified domain name of the server from which a page is served. The property can be assigned to a domain suffix to allow sharing of pages across frames from different hostnames. For instance, two frames running at app1.example.com and app2.example.com can script against one another if both frames set their document.domain to their common example.com.  A frame may not set its domain property to a top-level-domain, nor to a different domain suffix. For instance, app1.example.com cannot set its domain property to .com or microsoft.com.  The HTML5 proposal formalizes the algorithm used to determine if a given domain property assignment is permitted, and it specifically requires that the assigned value is a suffix of the current value.

    In Internet Explorer 7, the following set of calls would succeed:

    // initial document.domain is app1.example.com

    document.domain = "app1.example.com";  // 1. Domain property set to default value

    document.domain = "example.com";        // 2. “Loosen” domain

    document.domain = "app1.example.com";          // 3. “Tighten” domain

    In Internet Explorer 8 and other browsers, the 3rd assignment will throw an exception, because app1.example.com is not a suffix of the then-current value, example.com.

    Put simply, once you’ve loosened document.domain, you cannot tighten it.

    Web Applications that need to interact with data from other domains may wish to consider using the postMessage() or XDomainRequest APIs rather than adjusting the document.domain property.

    Restricting Frame-Targeting

    HTML5 also specifies the circumstances in which one frame is permitted to use the targetname parameter of a window.open() call to navigate another named frame or window.  

    The rules are meant to help prevent a window injection vulnerability. In a window injection attack, a malicious website in one browser frame attempts to “hijack” a frame or popup owned by a trusted webpage.

    For instance, consider the scenario where http://contoso.com opens a popup window with the name helpPage.

    window.open("helpTopic.htm", "helpPage", "height=200,width=400");

    If another page at http://evil.example.com attempts to hijack this window, like so:

    window.open("spoof.htm", "helpPage", "height=200,width=400");

    …instead of navigating the helpPage window owned by Contoso.com, spoof.htm will instead open in a new browser window. While Internet Explorer 7 and 8 always show an address bar on every window, this new restriction makes window injection spoofs even less convincing.

    MIME-Handling: Sniffing Opt-Out

    As discussed in Part V of this blog series, Internet Explorer’s MIME-sniffing capabilities can lead to security problems for servers hosting untrusted content.  At that time, we announced a new Content-Type attribute (named “authoritative”) which could be used to disable MIME-sniffing for a particular HTTP response.  

    Over the past two months, we’ve received significant community feedback that using a new attribute on the Content-Type header would create a deployment headache for server operators. To that end, we have converted this option into a full-fledged HTTP response header.  Sending the new X-Content-Type-Options response header with the value nosniff will prevent Internet Explorer from MIME-sniffing a response away from the declared content-type.

    For example, given the following HTTP-response:

    HTTP/1.1 200 OK

    Content-Length: 108

    Date: Thu, 26 Jun 2008 22:06:28 GMT

    Content-Type: text/plain;

    X-Content-Type-Options: nosniff

    <html>

    <body bgcolor="#AA0000">

    This page renders as HTML source code (text) in IE8.

    </body>

    </html>

    In IE7, the text is interpreted as HTML:

    In IE8, the page is rendered in plaintext:

    Sites hosting untrusted content can use the X-Content-Type-Options: nosniff header to ensure that text/plain files are not sniffed to anything else.

    XSS Attack Surface Reduction: CSS Expressions Disabled IE8 Standards Mode

    Also known as “Dynamic Properties,” CSS expressions are a proprietary extension to CSS that carry a high performance cost.  CSS Expressions are also commonly used by attackers to evade server-side XSS Filters.  

    As of Beta 2, CSS expressions are not supported in IE8 Standards Mode. They are still supported in IE7 Strict and Quirks mode for backward compatibility. While the IE8 XSS Filter can block attempts to reflect CSS Expressions as part of an XSS attack, blocking them in IE8 Standards Mode brings a performance benefit, improves standards-compliance, and acts as an attack surface reduction against script injection attacks.

    Deep Dive on the IE8 XSS Filter

    David Ross, architect of the IE8 XSS Filter has published a technical article on the architectural and implementation details of the XSS Filter over on the Secure Windows Initiative blog. If you’re interested in the nitty-gritty details of how the XSS Filter operates, please take a look.

    Thanks for reading!

    Eric Lawrence

    Program Manager

    Internet Explorer Security

    check out: http://blogs.msdn.com/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment