上週有同事跑來問我說 IE9 是不是有 Bug,他家裡的電腦都沒辦法連接 不安全的 HTTPS 網站,一般來說我們瀏覽到一些使用 自簽憑證 (self signed certificate) 的網站都一定會看到 IE9 提示說「此網站的安全性憑證有問題」,而且通常也都會有「繼續瀏覽此網站 (不建議)」的選項可以用,但是在他家裡的電腦怎麼會沒有這個按鈕可以點選呢?我直覺是認為不可能有此問題,由於當下沒圖沒真像,所以我請他給我他電腦的畫面再進一步判斷,今天他寄給我畫面了,不到 5 秒便真相大白!小朋友,叔叔是有練過的 XD
在我的電腦連接到不安全的網站會出現如下畫面:
而同事今天寄給我的畫面如下,他的畫面上的確只有一個「按這裡關閉此網頁」的選項,雖然他是用英文版的 IE9,不過不太可能跟語系有關啊!各位看官看出問題了沒?
是的,要成為一個優秀的網頁開發人員,觀察力還是很重要的,不過因為視力不好的關係還可以原諒! XD
答案就是他的畫面左上角的圖示,標示著 facebook 的 LOGO,也代表著這個畫面是先開啟 facebook 的釘選網站捷徑,然後才瀏覽到這個不安全的網站,換句話說,使用了 釘選的網站捷徑 會增強網頁瀏覽的安全性,讓你無法連結到任何不安全的網站,因而進一步提升瀏覽網站的安全性!
基本上,如果使用者將信任的網站加入成為 釘選的網站捷徑 (Pinned Site Shortcut),也代表者對該網站的一種信任,所以 IE9 為此特別強化了幾個安全性相關的特性,其中包括有:
- 由於網址已經寫死在 釘選的網站捷徑 (Pinned Site Shortcut) 裡,因此使用者不會打錯網址。
例如: http://www.microsoft.com 你不用再害怕會打成 https://www.micorsoft.com/
- 使用 釘選的網站捷徑 (Pinned Site Shortcut) 開啟網頁會是一個完全獨立的 IE9 程序,也代表著在該瀏覽器上的 Session Cookies 不會跟其他正常開啟的 IE9 瀏覽器上的 Session Cookies 混在一起,因此可以做到有效的瀏覽器程序隔離,保護使用者安全。
- 使用 釘選的網站捷徑 (Pinned Site Shortcut) 開啟瀏覽器後,預設會停用所有外掛程式,其中包括 IE 工具列或 Browser Helper Object (BHO) 等等,降低使用者可能被惡意工具列攔截資料的風險。
- 使用 釘選的網站捷徑 (Pinned Site Shortcut) 開啟瀏覽器後,會阻擋所有不安全的連線,網站若被植入木馬或遭受 XSS 攻擊時,使用者便可以有效避開網址突然被轉向到不安全網站的情況。或者當上網的地方有被 中間人攻擊 (Man-in-the-middle attack) 手法入侵時,也能有效防止駭客從中擷取你在網路上傳輸的資料,IE9 會立即將網頁中斷,讓你無法在繼續瀏覽網站,若想進一步瞭解 中間人攻擊 的手法建議可以閱讀 John 的【不要錢的無線網路 -- 最貴】文章。
這些 IE9 的安全特性對有線上交易的電子商務網站或銀行網站來說尤其重要,應該多多宣導 IE9 的使用者使用 釘選的網站捷徑 (Pinned Site Shortcut) 開啟網頁才是!
相關連結