对Internet Explorer的批评

维基百科，自由的百科全书

Internet Explorer是一款招致非常多批评的网页浏览器。大部分批评都集中在其安全架构以及对开放标准的支持程度上。

目录 1 对其安全性的批评 1.1 组件对象模块 1.2 补丁 1.3 间谍软件·广告软件与Windows XP SP2 2 对其不支持开放标准的批评 2.1 图像标准 2.2 XHTML 2.3 HTTP与MIME 2.4 JavaScript与DOM 2.5 API插件 2.6 Unicode 2.7 Workarounds 3 其他批评 4 脚注 5 参见 6 外部连接

[编辑] 对其安全性的批评

Internet Explorer的安全性已被来自计算机安全研究社群全面审查，部分原因是因为市场被其独占。Internet Explorer的安全漏洞已经使得其成为主流浏览器中最不安全的一个。

2005年6月20日]，安全咨询网站Secunia就一下子列出了Internet Explorer 6的20个无补丁的安全漏洞，在每一个安全级别中，绝大部分漏洞存在的时间都比其他浏览器的时间长，虽然其中的一些漏洞只影响特定版本的Windows上的某些IE或是在与某些其他应用程序结合时才会暴露。

另一安全咨询网站SecurityFocus列出了存在于Windows XP SP2的IE 6中27个无补丁安全漏洞。在非XP SP2上的前代Windows中存在更多。

参见计算机安全了解更多已知的重要无补丁漏洞的更多信息。

2004年6月23日，一个目的在于大公司IIS服务器的攻击即是通过使用IE中两个先前未发现的漏洞，借以在不知情的大量最终用户的浏览器中插入垃圾邮件发送软件而成^{[1] [2] [3]}。该恶意软件被定名为Download.ject，它会在用户浏览网页时偷偷电脑中安装后门以及一个键盘击键记录软件。被感染的电脑包括许多金融站点。

Art Manion是美国电脑紧急相应小组(US-CERT)的一名代表，他指出IE6 SP1的许多设计使得IE天生就不可能安全，他说道：

在IE安全区域模块的技术中存在大量严重漏洞，本地文件系统（本机区域）被设计为信任动态HTML(DHTML)文档对象模块（特别的，DHTML所特有的功能）、HTML帮助系统、MIME类别定义、图形用户介面（GUI）以及ActiveX……另一方面IE又被设计为整合进Windows以至于IE的漏洞经常被骇客当作对操作系统的进行攻击的一个重要途径。

Manion随后声名他的讲话大部分是相对于2004年发布SP2前的，并且其他浏览器也开始在上述CERT文件中面临类似的问题。 [4]

值得注意的是XP SP2所提供的一些功能对于先前版本的Windows并不可用，它们包括Windows 9x，NT和2000。

另外，一些与Internet Explorer相关的安全漏洞也令需要的Windows用户突破安全权限。一个例子是，在Windows XP中，缺省时系统是不允许用户组的用户以管理员组权限进行特权操作的。但实际上，这种情况下骇客可以运行一个专用代码实现对电脑操作系统的完全控制。这种破解行为也将导致任何浏览器以不受限的特权状态运行。对于其他系统普通用户的日常操作来说，使用超级用户进行日常操作是不明智的，但攻击者可以依赖于Windows系统中这个处于不适当级别的浏览器进程。然而，也有许多Windows中的程式离开管理员特权无法运行或效果变差，所以其他系统中的正常操作可能对于Windows用户来说是不切实际。

许多的安全分析者指出IE经常爆出严重漏洞是因为它独占市场份额，所以骇客把其优先作为攻击目标。然而，也有许多批评指出这种说法是不全面的；Apache网络服务器的市场份额比微软IIS要高，但Apache几乎没有安全漏洞（就算有，也相较IIS说是很轻微）。微软的Craig Mundie曾经承认微软公司的产品「对常态而言是不安全的」而这是因为微软「设计时更注重功能而非安全。」

结果这样导致许多问题，一些安全专家，包括Bruce Schneier ^[5]以及开源倡导者David A. Wheeler ^[6]，推荐广大用户停止使用Internet Explorer作为日常浏览器，而转换其他浏览器作为替代。一些技术专栏作家也建议过类似的话^{[7] [8]}。2004年6月6日，US-CERT发布的漏洞报告建议立即停止使用IE而该用其他，尤其是访问非信任站点时更应如此。2004年12月，宾夕法尼亚大学发布的一篇文章告诫学生和员工马上丢弃使用IE并改用其他浏览器。

[编辑] 组件对象模块

许多的IE安全问题皆与组件对象模块(COM)相关。IE通过ActiveX或浏览器帮助对象(BHO)将COM深植其中。这种功能的结合为电脑病毒、特洛依木马程序以及间谍软件的进入大开方便之门。

这些恶意软件的攻击与传遍通常皆要利用ActiveX。微软早已经认识到这一问题，1996年Charles Fitzgerald－微软的Java团队程序负责人曾说，「如果你想在『网上』安全，请关掉你的电脑。 … 我们从来没有准备让ActiveX安全。"

ActiveX控件，一旦运行，即可获得用户特权而非向其竞争技术(如Java与JavaScript)那样被限制的运行; ActiveX控件一如既往的是一个非标准的不可在非Windows平台上移植的技术。一份普雷斯顿大学教授Edward Felten的文章指出:

ActiveX的安全依赖于个人的判断力。ActiveX程序可以附带程序厂商或其他任何人的数字签名。… ActiveX的主要危险之处在于你可能对是否接受一个程序作出错误的判断。 … 在最危险的情况下，这个程序被你所不了解的某个人加上数字签名，而你又确实想知道程序运行的结果，但是如果你拒绝它你将不可能看见结果。 … 惟一可以避免这样情况的方法是拒绝所有程序，而不管上面写的如何有趣如何好玩儿，除非这个程序来自少数你真正了解的发布方。

ActiveX的安全依赖于安全区域的设置和数字签名，而没有类似沙盒以及元政策的指导。在O'Reilly的书中有这样的解释"恶意可移动代码"：

ActiveX最大的问题在于它标记对脚本安全的方法不对。已经有一些email蠕虫攻击使用这种方法，这种类型的漏洞还会持续发现。如果微软都不能正确决定自己系统控件的安全级别设定，第三方程序提供商更不可能做到。接下来的问题就是未签署代码使用的增长。数字签名过程是一项技术并且昂贵。大部分网上的ActiveX控件都未曾加以签名。被签名程序中的大部分又是过期的证书签署的。我很少看见一个正确有效的控件签名。如果ActiveX的执行在于最终用户是否选择执行它，那么数字签名技术一定要更广泛传播。如果ActiveX成为世界范围内网站的标准，那么可以想见的是，我们将会看见使用ActiveX的恶意代码的剧增。

ActiveX的安全问题首次被发现是在1997年，Chaos Computer Club (CCC)这家机构展示了一个可以与用户手持设备中Intuit的Quicken的金融软件自动进行连接的ActiveX控件，这个程序会自动将用户帐号上的钱转移至CCC的银行帐号。

美国国防部(DoD)已经将ActiveX定义为1类(最危险)的可移动代码技术，并严格限制ActiveX在DoD系统内的使用。

也有专家认为ActiveX的风险被过分夸张了，而其实ActiveX是有安全机制的。eWeek的Larry Seltzer指出:

显然的没有足够证据证明ActiveX是不安全的，有很多反对的声音是无根据传说或是不值一驳的谣言。实际上Sun公司花钱雇人编写恶意ActiveX控件。我在JavaOne的时候，他们演示了（我想是1997年）它。测试系统显示的是一系列你通常见到的警示对话框，但Sun的雇员竟然有胆量编写了那种使警示对话框迅速关闭以使人们忽略其存在的软件。同时，他们同样也没有提及即使是签名过的Java小程序也可能会执行一些危险的特权操作，这些操作应当提供类似的警示对话框。大部分针对ActiveX的批评是简单而又非正式的，这个例子却指出了伪善者的不诚实。

即将发布的Microsoft AntiSpyware，现在正处于β状态。 它可以监视Windows 2000，XP and Server 2003下IE中的BHO，并对欲新安装BHO对用户作出警告。

[编辑] 补丁

很多人批评IE常常在发现问题很长时间後才发布对应的补丁，而且发布的补丁常常不能完全修复漏洞。如微软在2003年2月发布初始报告後200天才发布出补丁(而不是30-60天)，Marc Maifrett，eEye Digital Security的Hacking部门主管说过：“如果它们真的需要花费如此长的时间来修复(以及测试)，那么他们还有别的问题。这不是一个软件公司的运作常态。”The Register则批评Maifrett公布的安全漏洞导致了红色代码在那年的流行，也有人认为，「如果他们没有发现引起公众慌乱、ida漏洞或是他们的SecureIIS产品有能力防卫，红色代码蠕虫就不会感染数千台系统。」

微软将他们的延期归咎于区域测试。公司对Internet Explorer进行测试的软件是复杂而完全的。IE浏览器以26种不同语种发布在不同的Windows平台上。因此，对每个补丁的测试估计需要进行最少237次安装。

虽然安全补丁持续在不同平台上发布，但现今大部分补丁只针对Windows XP发布。

[编辑] 间谍软件·广告软件与Windows XP SP2

间谍软件与广告软件，如同其他的恶意软件一样，通常把目标对准Windows/Internet Explorer为基础的作业系统。较旧的间谍软件对系统的危害已经因为Windows XP SP2的安全增强而有所缓解，但对IE新型的攻击会在SP2上安装间谍软件。微软不建议在已经感染间谍软件的系统上安装SP2，因为这可能导致不能自举：

於安裝SP2前，清除間諜軟件及廣告軟件失敗可導致問題產生及在一些情形中，你會難以重新啟動電腦。你甚至可能不知道間諜軟件或廣告軟件己經於你的系統上安裝。一些間諜軟件或廣告軟件可能不會與SP2構成嚴重問題，但在安裝SP2前，最好執行間諜軟件及廣告軟件的移除程式。

視已安裝的間碟軟件而定，在SP2更新準備工作中，我們可透過反間諜工具移除間碟軟件或在一些嚴重情形中，需要手動修改登錄檔（Windows Registry）。 然而，保安專家普遍建議安裝Service Pack 2。

[编辑] 对其不支持开放标准的批评

在1990年代的浏览器战争时代，Internet Explorer与Netscape Navigator都不得不致力于向浏览器中添加非标准功能。这与近来以web标准设计的浏览器形成鲜明对比。在版本号5後，IE的Trident渲染引擎几乎没有进行过一个重大修改。结果是在2005年，IE在支持标准上已经大大落后.

雖然每一個版本的IE都會改善基本技援，包括在版本6中引採用的「符合標準模式」，其中用來建立網頁（HTML and CSS）的核心標準卻仍然是以不完全且不正確的方式來實作的。舉例來說，它不支援<abbr> 元素，但這是HTML 4.01 標準的一部份，而且它對CSS1標準中的float-margin 部分的實作也有臭蟲。Internet Explorer box model bug 是Internet Explorer 對CSS標準的實作中，最為人熟知的臭蟲之一。

由於它在市場上的主導地位，使得某些網頁開發人員只用Internet Explorer來測試他們的網站。某些開發人員也使用Internet Explorer所提供的非標準擴充套件。這導致網頁無法被其他瀏覽器正確地解讀。最糟糕的情況下，它可能會阻擋其他瀏覽器的使用者存取這些開發人員所建立的網站。批評家認為 that this is the execution of the final step of embrace, extend and extinguish (EEE): the extinguish stage.

[编辑] 图像标准

由于IE对PNG图像阿尔法通道的不支持导致了PNG图像格式在网上使用率的减少。虽然只是一个可选的特性，阿尔法通道却是把PNG与其它像GIF或者JPEG这样的格式相区别的一个特色。 在Internet浏览器中，透明的部分的形象将被显示作为灰色，白或者其它颜色，depending on the image editor in which the PNG image was created. Microsoft documented a workaround on its support website ^[9], and the IE developers are aware of the missing functionality, as evidenced by a posting on IE developer Dave Massey's weblog ^[10]. This issue will be fixed in the upcoming version 7. Another less known bug is that when the PNG file is either 4097 or 4098 bytes in size, the image will be ignored and only the picture placeholder image will appear ^[11].

除了PNG外，Internet Explorer也同样不支持渐进式JPEG格式的渐进显示 ^[12]。 Progressive JPEG divides the file into a series of scans. The user agent should display progressive JPEG from lower quality scans to higher quality scans during transmission of the file. The user should see a gradual improvement of the quality of the image. Similar interlacing problem happens on PNG, where the 2D interlaced PNG is rendered as 1D interlacing.

隔行或渐进显示对于过去大量使用的拨号上网而頻宽非常有限的用户非常有用。不過，Internet Explorer的圖像不支持於未完成下載時開啟。幸運地，由於寬頻接達Broadband Internet access的引進，現在這問題已沒那麼重要。

[编辑] XHTML

Internet Explorer对XHTML(标准文档标记语言HTML的继承者)的支持是不完全的，虽然IE从来没有宣称将支持XHTML。Rather, XHTML 1.0 was intentionally designed to be usable by HTML 4.0 user agents, like Internet Explorer, if certain document authoring guidelines for backward compatibility were followed. Furthermore, when accessing XHTML documents over a network, such support by non-XHTML-aware browsers is predicated on the documents being served with a MIME type of text/html. To the extent that these requirements are met, IE supports XHTML. XHTML has since matured, and it is now possible to author modular documents that cannot be rendered in a non-XHTML-aware browser like Internet Explorer. Furthermore, the use of the text/html MIME type is now deprecated in favor of application/xhtml+xml. Internet Explorer does not recognize this MIME type, so instead of rendering the page, a file download prompt is presented to the user. It is possible to force IE to show application/xhtml+xml pages as either HTML or generic XML, but this workaround involves the manual editing of Windows registry ^[13]. By forcing XHTML to be interpreted as HTML, it also removes the advantages of using an XML parser, like well-formedness checking. Despite the advent of application/xhtml+xml, many XHTML documents on the web are still served with the text/html type in order to make XHTML documents renderable in Internet Explorer. Some consider this practice harmful as it could result in proliferation of malformatted XHTML documents ^[14].

[编辑] HTTP与MIME

不像其他浏览器，Internet Explorer不允许MIME在Content-Type信头段中定义MIME类型。比如一个纯文本格式的文件内包含了HTML样式的标记就会被识别为HTML文档，而不是纯文本文档。尽管在这种情况下，可以通过 手动修改注册表的方式强行改变执行行为，但这对于普通用户来说是不可能的。

Internet Explorer不完全支持HTTP/1.1内容协议，因为浏览器没有在请求中定义其所接受的MIME类型与字符编码。 Content negotiation is a technique whereby an HTTP server uses the browser's—ultimately, the user's—preferences for media (MIME) type, languages, character encoding, and transfer encoding (例如:壓縮) in order to determine the best representation of a resource to send to a user agent, when multiple representations are available. An example would be the negotiation of image format (such as SVG, PNG, or GIF), and 及document format (WML, XHTML, or HTML, for instance).

[编辑] JavaScript与DOM

微软扩展了原先網景的JavaScript并专称其为JScript，JScript是Internet Explorer的缺省脚本语言。Like Netscape's JavaScript implementation, JScript supports the full specification of ECMAScript, the only standardised scripting language on the Web.

最大的不同在于与JScript绑定的文档对象模型(DOM)。While all browsers have their own implementation of DOM Level 0 (vendor-specific), Internet Explorer implemented only some of the W3C recommended DOM Levels (1, 2 and 3). In addition, before DOM Level 2 was finalized, IE implemented some proprietary extensions to DOM which are similar, but not identical, to those in DOM Level 2. Most of these proprietary extensions are not accepted by the W3C. As the corresponding (finalized) DOM Level 2 objects and methods are not implemented in Internet Explorer due to the slowdown of development since version 6, problems arise when trying to write scripts that work on any browser. Web developers often need to write extra code so that the scripts will work on both Internet Explorer and on browsers that correctly implement the W3C standards. This duplication increases development effort, results in code bloat, and makes code maintenance harder.

[编辑] API插件

IE花了些时间用来支持網景的NPAPI功能。外挂 that functioned in the Netscape browser also functioned in Internet Explorer, but the support was dropped in version 5.5 SP2 in favor of Micorosft's own proprietary ActiveX technology, which unnecessarily increased the workload of vendors of helper applications like QuickTime.

[编辑] Unicode

请参见：Unicode与HTML

Internet Explorer对多语言文本支持Unicode标准，因此其理论上有能力显示任何已经安装字体的字符。但实际上，Internet Explorer不会对混和Unicode文本自动选择字体。这种情况下字符可能会以一个空格结束或显示为问号。

网页设计者必须猜测在用户电脑上显示哪种字体最为合适，如果需要改变就需要对每个Unicode块进行手动改变。而对其他浏览器却可以自动完成这个操作。

[编辑] Workarounds

To get around these problems, many web designers build websites compliant to W3C standards, and then implement workarounds or hacks to account for Internet Explorer's rendering inadequacies, or to hide advanced website features from IE. The CSS hacks are often very complicated, as they need to deal with different versions of IE on different platforms (mostly Windows and Mac). The hacks utilize not just Internet Explorer-specific features, but also some rendering-engine bugs that are well known. Some of the more common hacks:

• Exploiting the "Star HTML selector" bug
• Exploiting the CSS parsing bugs
• Exploiting the underscore hack
• Using CSS2 selectors that IE doesn't recognize
• Using JScript/VBScript and the IE CSS behavior
• Using the IE CSS filters
• Using the IE conditional comments

One of the most popular IE hack collections is known as IE7 ^[15], written by Dean Edwards. It is an attempt to make Internet Explorer more compliant when it comes to web standards. In addition to the support of some CSS2 selectors, it also fixes some of the IE bugs. However, as many client-side scripts need to be loaded and run before displaying the page properly, there is a considerable amount of loading time needed for every single page.

[编辑] 其他批评

随着版本的更新，Internet Explorer的下载大小也显著增大。对于Internet Explorer 6 Service Pack 1（包括Outlook Express）来说，其典型安装时的下载大小已经接近25megabytes。它的大小从11megabytes（最简安装）到75megabytes（完全安装）不等。这大大超过了一另一些网络浏览套装（Internet suites）的大小，例如（基于Windows installer）Opera 8.0 (3.6MB)、Mozilla Suite 1.7.8 (11MB)、Mozilla Firefox 1.5.0.6(4.9MB)和SeaMonkey 1.0.4(12MB)。

一个较小但似乎很有意思的批评是软件名称中Internet这个单词的使用。严格地说，Internet Explorer是为万维网（World Wide Web）而不是为整个包含了e-mail, Usenet, telnet和IRC等的因特网（Internet)而设计的。由于这种以因特网（Internet）来代替万维网（World Wide Web）的误导性使用，许多对因特网没有足够了解的用户可能会认为使用Internet Explorer是进入因特网的唯一途径。

[编辑] 脚注

1. ^  PNG Files Do Not Show Transparency in Internet Explorer, February 13, 2005.
2. ^  Transparent PNG Support, May 12, 2005.
3. ^  Cannot View Some PNG Images, May 12, 2005.
4. ^  PHP: imageinterlace, May 12, 2005.
5. ^  Forcing IE to Show Application/xhtml+xml pages, May 12, 2005.
6. ^  Sending XHTML as text/html Considered Harmful, February 13, 2005.
7. ^  /IE7/, May 12, 2005.
8. ^  Researchers warn of infectious Web sites, May 12, 2005.
9. ^  Handler's Diary May 11th 2005, May 12, 2005.
10. ^  An analysis of the Ilookup Trojan, May 12, 2005.
11. ^  Safe Personal Computing, May 12, 2005.
12. ^  Securing Microsoft Windows (for Home and Small Business Users), May 12, 2005.
13. ^  How to Protect Yourself From Vandals, Viruses If You Use Windows, May 12, 2005.
14. ^  Internet Explorer Is Too Dangerous to Keep Using, May 12, 2005.

[编辑] 参见

• Internet Explorer
• Common criticisms of Microsoft

[编辑] 外部连接

• Secunia - Vulnerability Report - Microsoft Internet Explorer 6.x
• Explorer Exposed!
• Windows Explorer vs. the Standards
• The Door Is Ajar — An "anti-IE" article by a Sun Microsystems technology director Tim Bray.
• Why You Should Dump Internet Explorer — An "anti-IE" article by a MCSE Daniel Miessler.
• StopIE — An "anti-IE" campaign by a web developer Stephen O'Brien
• Browse Happy — An "anti-IE" campaign by the Web Standards Project
• Drip — A utility to detect and measure IE's memory leaks.