Pour lutter contre les sites frauduleux et malveillants, Microsoft rappelle que son navigateur Edge sera directement relié au nouveau mécanisme de sécurité baptisé Microsoft Passport. Pour mémoire, ce dernier propose de s'identifier au sein d'une application ou d'un site sans envoyer de mots de passe. L'authentification est réalisée soit par l'envoi d'un code, soit par reconnaissance biométrique pour les ordinateurs compatibles avec Windows Hello, un dispositif qui nécessite une caméra infrarouge, un lecteur d'empreintes ou une caméra RealSense 3D.
Microsoft reposera également sur le mécanisme SmartScreen permettant de scanner les sites Internet à la recherche de pages suspectes pour pouvoir les bloquer aux internautes. SmartScreen est similaire aux interfaces de programmation de Google Safe Browsing embarquées au sein de Chrome, Firefox et Safari. Par ailleurs, face à la multiplication des certificats frauduleux, Microsoft met à disposition un outil au sein de Bing Webmaster Tools afin de permettre aux développeurs de sonner l'alerte.
Côté standards du Web, Microsoft indique que le nouveau moteur de rendu EdgeHTML se concentre uniquement sur le Web moderne : il sera plus facile pour un développeur Web de coder son site Internet pour l'ensemble des navigateurs de dernière génération. Par ailleurs, Edge embarque le standard Content Security Policy, qui permet de restreindre le contenu d'une page Web (script, feuille de style) à certains domaines. Cela limitera les attaques de type cross scripting. A noter aussi l'implémentation du protocole HTTP Strict Transport Security, pour réduire les attaques man-in-the-middle.
Microsoft renonce surtout aux extensions basées sur les ActiveX. La société explique que ce dispositif, introduit en 1996, ouvre une porte béante au reste du navigateur. Avec Edge, Microsoft souhaite donc davantage cloisonner le navigateur des extensions. Exit VML, VB Script, et les fameuses barres d'outils, place au HTML5. « Nous travaillons sur un modèle d'extensions moderne basé sur HTML et JavaSript », informe l'équipe sur son blog.
Précédemment, Microsoft avait affirmé que les extensions de Chrome pourraient être facilement portées sur Edge. Dans les prochains mois, l'éditeur proposera les outils nécessaires permettant de migrer une extension initialement conçue pour ActiveX vers la nouvelle architecture HTML5.
Contrairement à Internet Explorer, ce nouveau navigateur est une application universelle ; elle se trouve donc dans un conteneur sécurisé. Microsoft renforce en outre ce cloisonnement et « chaque page internet visitée par Microsoft Edge sera placée au sein d'un conteneur d'application ». Enfin, outre une prise en charge du 64-bit renforçant la distribution aléatoire de l'espace d'adressage, Microsoft affirme avoir renforcé les couches de sécurité pour éviter les corruptions de mémoire.
A lire également :
