Uno degli aspetti su cui Microsoft non può proprio mirare al ribasso con il nuovo browser Edge è la sicurezza. In un Web sempre più complesso, popolato e pieno di insidie il software di navigazione può rappresentare una prima barriera importante per proteggere sia i neofiti che l'utente esperto.
L'azienda ha parlato di alcune delle misure su cui sta lavorando per fare di Edge un browser al passo con i tempi. In un lungo post sul proprio blog Microsoft ha parlato di sandbox, compiler e tecniche di gestione della memoria sviluppate in "stretta partnership con Windows".
Uno dei modi più comuni per attaccare un utente su Internet è il phishing, ossia convincere un utente a inserire dati personali e password all'interno di una versione falsa di un sito web del quale si fida. Ad esempio c'è chi ha realizzato versioni false del sito delle Poste Italiane, e sono molti a cascarci cliccando sul link contenuto in una email scritta ad hoc.
"I tentativi di identificare i siti web legittimi, attraverso il simbolo del lucchetto HTTPS e più di recente la barra verde EV Cert hanno ottenuto un successo limitato. [...] Per difendersi davvero bisogna rimuovere la necessità per gli utenti di inserire password in testo esplicito sui siti. Windows 10 fornisce la tecnologia Microsoft Passport con crittografia asimmetrica per autenticarvi ai vostri siti. Windows 10 offrirà anche un modo conveniente per sbloccare il vostro dispositivo e farvi accedere al vostro Microsoft Passport", scrive Microsoft.
Microsoft SmartScreen, originariamente introdotta con Internet Explorer 8, è supportatada Microsoft Edge e da Windows 10 Shell. SmartScreen difende gli utenti dal phishing effettuando un controllo sulla reputazione dei siti e bloccando quelli che ritiene siano malevoli. Allo stesso modo questa tecnologia impedisce di scaricare e installare software "a rischio".
Vi sono inoltre siti pericolosi che usano certificati ottenuti impropriamente o in modo fraudolento, facendosi passare per siti legittimi. "Lo scorso anno abbiamo annunciato Certificate Reputation, e recentemente abbiamo esteso questo sistema permettendo agli sviluppatori web di usare il report Bing Webmaster Tools per allertarci direttamente dell'esistenza di certificati fraudolenti".
Il nuovo browser ha anche un nuovo motore di rendering, Microsoft EdgeHTML, pensato per gli standard moderni. È dotato di nuove caratteristiche di sicurezza che fanno parte degli standard W3C e IETF. Con Edge Microsoft ha anche operato una profonda revisione della rappresentazione DOM nella memoria del browser, rendendo il codice del browser più resistente alle intrusioni.
Come anticipato nei giorni scorsi, la casa di Redmond ha chiuso i ponti con VML, VB Script, Toolbars, BHOs o ActiveX, estensioni non più necessarie e insicure, abbracciando pienamente le caratteristiche di HMTL5. "Il cambiamento più grande nella sicurezza di Edge è che il nuovo browser è una Universal Windows app".
Questo fa sì che tutto sia all'interno di sandbox. "Ogni pagina Internet che Edge visita sarà renderizzata all'interno di un container", specifica l'azienda. Microsoft Edge inoltre è a 64 bit, non solo di default, ma tutte le volte che opera su un processore a 64 bit.
Questo permetterà di rendere Windows ASLR (Address Space Layout Randomization) ancora più resistente agli attacchi e ai tentativi di iniettare codice maligno. Infine Microsoft ha lavorato su diverse soluzioni per mitigare attacchi memory corruption, una classe di vulnerabilità molto comune.
 | Microsoft Office 365 Personal |
A completare il quadro il programma Windows 10 Technical Preview Browser Bug Bounty, pensato per ricevere report dai ricercatori di sicurezza sulle vulnerabilità del browser durante il periodo di sviluppo e non solo quando il software sarà effettivamente disponibile. Gli interessati possono ottenere maggiori informazioni a questo indirizzo.