Windows 11: czy Internet Explorer naprawdę odszedł?

Jedną z częściej przytaczanych nowości w systemie Windows 11 jest rzekoma śmierć Internet Explorera. Nie da się go wybrać jako przeglądarki, nie jest komponentem systemu i Menu Start nie ma skrótów pozwalających na jego uruchomienie. Bywa to uznawane za triumf bezpieczeństwa i nowoczesności, ale w praktyce Internet Explorer wcale nie zniknął. Nie może zniknąć, ponieważ wtedy przestałaby działać pokaźna część oprogramowania.

Dwa główne zarzuty względem IE to zabawne podejście do kwestii standardów oraz niskie bezpieczeństwo. Ta pierwsza cecha sprawia, że na drugą często patrzy się z perspektywy użytkownika przeglądarki. To jednak błędne podejście. Internet Explorer nie jest bowiem tylko przeglądarką internetową. To także wbudowana w system platforma programistyczna, o założeniach sformułowanych w latach 1996-2000. I to pod tym kątem należy rozpatrywać jej bezpieczeństwo - nie z perspektywy wykorzystania IE jako wyświetlacza stron internetowych.

Ćwierć wieku temu, Microsoft wpadł na pomysł, by interfejs systemu był rysowany za pomocą tych samych narzędzi i języków, co strony internetowe. W przyszłości miało to doprowadzić do zatarcia granic między zasobami lokalnymi a internetowymi. Pierwszym efektem tego podejścia było powstanie Pomocy HTML (CHM), "widoku sieci Web w folderach", Active Desktop i Pasek Kanałów. Elementy te były wyświetlane za pomocą komponentu MSHTML, dostępnego także jako możliwy do wywołania przez programistów zewnętrznych aplikacji. Internet Explorer to tak naprawdę interfejs (tzw. "chrome" - felgi i wykończenie) obudowany wokół kontrolki MSHTML, zwanej formalnie "Microsoft Internet Controls". Tę nowatorską wtedy technologię dziś znamy pod nazwą "WebView".

Z biegiem czasu, platforma internetowa wzbogaciła się o obsługę języków skryptowych, powiadomień push, łączności XMLHTTPRequest oraz możliwość "wyjścia" do "prawdziwych", natywnie skompilowanych fragmentów kodu, osadzanych jako kontrolki ActiveX. MSHTML tak naprawdę też jest kontrolką ActiveX. Przygotowane za pomocą niniejszych technologii aplikacje można było ująć w zestaw, w postaci "Aplikacji HTML", czyli plików HTA.

Obsługa ActiveX jest dziś mocno wyłączona w stronach internetowych. Ale parser Visual Basic Script, kontrolka MSHTML, podsystem Pomocy CHM i środowisko aplikacji HTA wciąż są obecne w systemie. Usunięcie MSHTML z Windowsa dałoby niespodziewane rezultaty. Każda aplikacja wykorzystująca Microsoft Internet Controls nie mogłaby zainicjować interfejsu. A takich aplikacji jest… naprawdę dużo. Czasem wynika to ze stosowania HTML w interfejsie, ale bardzo często powody są o wiele głupsze: na przykład ekran instalatora lub dashboard powitalny.

Skoro IE nie może zniknąć z systemu, ile go tak naprawdę w nim jest? Otóż… jest cały. Windows 11 zawiera główny program roboczy Internet Explorera (IEXPLORE.EXE), jego dawne piaskownice (IELOWUTIL.EXE), ale także silnik rysujący (MSHTML.DLL), przenośny interfejs (IEFRAME.DLL), silnik HTA (MSHTA.EXE), parser Visual Basic Script (VBSCRIPT.EXE), a nawet…. silnik rysujący poprzedniej wersji Microsoft Edge (!), sprzed jego przejścia na Chromium.

Zachowana jest więc zgodność nawet z aplikacjami Metro, które miały nieszczęście zapiąć się na interfejs generowany przez EdgeHTML i pierwszy WinJS. Wniosek z tego taki, że każdy składnik, który raz wpadnie do bibliotek Windows, niemal nigdy z nich nie wypada. Nawet "wyłączany" lub "usuwany" zmniejsza się zazwyczaj w swój stub, obsługujący podzbiór dostępnych niegdyś żądań.

Powstaje zatem pytanie, na ile wzrosło bezpieczeństwo Windows 11 wskutek usunięcia klienckiego dostępu do IE. Odpowiedź brzmi: śladowo. W kroku tym bardziej chodziło o usunięcie wymówek w kwestii migracji naprawdę starych technologii. Dziury takie, jak CVE-2021-40444, korzystające z zestawienia słabości Office'a z obsługą "bezkarnego" metaprotokołu MHTML, pokazują że pod względem bezpieczeństwa obsługi antycznych technologii internetowych, Windows 11 nie różni się od Windows 10. Istniejące, acz nędzne mechanizmy ochrony oraz najeżenie niektórych składników Internet Explorerem sprawia, że funkcjonalnie w wielu miejscach Windows 11 z nowym Officem znajdują się na poziomie Windows XP Service Pack 2 oraz Office 2003.

Zresztą, Windows 11, wymagający TPM 2.0 i działającego HVCI, wciąż pozwala aplikacjom HTA pracować w tle na wysokich uprawnieniach i uruchamiać niezaufany kod wykonywalny wprost z internetu. Stan ten nie uległ zmianie od czasów Windows 2000.