Microsoft est revenu sur divers aspects que son navigateur Internet Explorer 10 et notamment sur les nouvelles mesures de sécurité offertes par ce dernier au sein de Windows 8.
Sur son prochain système d'exploitation, Microsoft étendra la fonctionnalité SmartScreen. Introduit au sein d'Internet Explorer 8 pour renforcer les outils anti phishing déjà proposés sur IE7, ce dispositif propose une vérification de tous les sites Internet et des téléchargements effectués par l'internaute. Chacune des URL est comparée à une liste établie par Microsoft et dans le cas où l'utilisateur tente d'accéder à un site sur liste noire, Microsoft retourne un avertissement ou annule le téléchargement. Les filtres SmartScreen seront désormais directement intégrés au sein de Windows Shell afin de bloquer les téléchargements même lorsqu'ils ont été effectués par une applications tierce.
Le navigateur IE10 dispose d'un filtre contre les attaques de type cross scripting (XSS), c'est-à-dire lorsque du code malveillant a été directement injecté au sein d'une page web pour exploiter une faille du navigateur. IE10 prend désormais en charge l'élément sandbox du HTML5 qui permet d'apposer des restrictions à un iframe. Ainsi le développeur web sera assuré que l'une de ses publicités n'aura aucune incidence ses visiteurs. L'élément sandbox stoppe l'exécution de scripts, le chargement de cookies ou l'utilisation de certaines interfaces de programmation du navigateur comme LocalStorage pour la mise en cache de données en local.
Outre le déploiement de mises à jour automatiques, Internet Explorer dispose depuis sa version 7 d'un système de sécurité de sandboxing (bac à sable). Ce dernier permet de dissocier les droits d'accès du navigateur à ceux du système. Si un hacker réussi à exploiter une faille d'IE, il ne sera pas pour autant assuré d'accéder aux composants du système. IE10 embarque pour sa part un « mode de protection avancé ». Ainsi en plus de limiter les droits d'écriture du système, Microsoft bloquera également les droits de lecture. Andy Zeigler, chargé d'Internet Explorer, explique que si l'internaute souhaite accéder aux éléments du système depuis le navigateur (par exemple pour ajouter une pièce jointe à un email composé depuis le webmail), les droits d'accès seront automatiquement transmis de manière temporaire dès que l'utilisateur aura cliqué sur le bouton « ouvrir » de l'explorateur de fichiers.
Cependant, ce nouveau dispositif ne sera pas sans conséquences : il casse d'emblée la compatibilité avec les plugins et certaines barres d'outils. Si ce n'est certes pas un problème pour l'édition Metro d'IE10, qui de toute façon n'autorise pas leur usage, la version "classique" du navigateur" est davantage concernée. C'est la raison pour laquelle, Microsoft n'activera pas par défaut ce mode de protection avancé.