IE7网址列表将变绿色 初期只适用部分网站
从明年初起,若你浏览合法网站,Internet Explorer第七版(IE7)的网址列表就会变成绿色–但初期只适用于一部分的合法网站,尚未全面推行。
据台湾CNET报道,为协助过滤骗取个人数据的网络钓鱼(phishing)网站,IE7加入彩色网址列表设计,像绿灯一样表示某网站值得信赖,可安心在该网站执行交易。
这个点子出自于CA Browser Forum的草案。该组织由授予安全认证给网站与主要浏览器制造商的公司所组成。微软上周决定,IE 7将采用CA Browser Forum为网站安全认证草拟的准则。不过,在此之前,微软必须先推出新的Windows根凭证以供浏览器辨认,所以IE7要到明年1月,才会增加这项功能。
微软Windows产品经理Markellos Diorinos说:“检视今天的网钓问题,你会发现通常遭到仿冒的网站都是知名大企业的品牌。所以我们决定解决这个迫切的问题。”
业界的共识是:必须用更有效的方式,让网页浏览器能辨识哪些是安全可靠的网站。目前浏览器以黄色挂锁图示标示某网站传输的数据经过加密处理,且已获得认证授权机构确认。但标准松散和疏于监督,已导致这套系统的安全性大打折扣。
不过,IE7初期只把大企业的网站纳入这套信任网站指针,造成规模较小的公司被挡在门外,也引起争议。CA Browser Forum将着手制定正式的准则,把所有合法网站都纳入其中,但需要一段时间才能完成这项任务。
因此,许多小企业抱怨微软仓卒行事,让他们权益受损。其它浏览器公司,如Opera和管理Firefox的Mozilla,则暂时采取观望态度,准备等到CA Browser Forum正式版安全认证准则公布后再采用。
被锁在门外?
IE7支持的标准全名是“CA Browser Forum第11号草案”,用来规范安全插座层延伸认证(EV SSL)。采用此认证系统后,若使用者连上获得 EV SSL认证的安全网站,IE7就会显示绿色的网址列。
但初期这项新式证书只由授权单位售予注册为法人组织的机构,以确认公司的真实性。问题是,对于独资公司、合伙公司等其它类型的公司,就很难比照办理。CA Browser Forum曾就此问题讨论了一年多,但目前尚未达成共识。
Visual Water的执行官Gregory Waldron就抱怨,该公司的网站在IE7的网址列表不可能呈现出代表合法的绿色,可能因此陷入相对竞争劣势。
Waldron说:“我认为这是不公平的标准,摧毁我认为应是因特网最棒的功能:让凡是有好点子和少许资本的人,也能跟Amazon或Overstock这类大企业竞争。”
微软承认,依照目前的草案,IE7的绿色网址列的确不能标示出所有的合法网站。但Diorinos强调,目前网钓诈骗猖獗,首当其冲的是大企业。
销售网点安全凭证的XRamp公司执行官Scott Harris则表示:“非注册公司被排除在外,令人非常不满。尽管小公司不是网钓下手的主要目标,但告诉消费者要向有绿色网址列的业内人士购买,又不给小公司绿色网址列,是歧视性的作法。”
想要网址列变绿的企业,必须向VeriSign、XRamp和Comodo这类认证授权公司购买新式证书,但这些授权单位必须先通过审核,才能开始销售新式认证证书。
微软的Diorinos则表示,民众需要一段时日熟悉IE7的绿网址列表,等到一般大众都知道绿色网址列表是可信任网站的指标时,小企业应该能得到新式的认证。
面对微软在新式安全认证技术尚未准备妥当就贸然推行的批评,Diorinos声明,微软认为应该以现成的草案版标准来解决网钓问题,而不是等到有完美的解决方案出炉才采取行动。
他说:“我们仍会密切观察此事的发展,并尽快提供更好的解决方案。”
标签: ie