IE7 防钓鱼的弱点
    第一，公众参与程度低
    拿大家谈论较多的垃圾邮件防范来说，我们都清楚“可变陌生访问限制（Variable Strange Visiting Limit）”是最为有效的一种控制垃圾邮件技术，它的核心思想表现为：“根据邮件接收人对垃圾邮件的投诉，计算发信人的信用，以此控制垃圾邮件的发送，采用邮件服务器与邮件地址两级白名单控制垃圾邮件的接收。” 这种信用机制的有效性由VSVL邮件用户对垃圾邮件的投诉率决定，如果投诉率太低会使信用控制失灵，Spammer可以不断地使用限额发送垃圾邮件，如投诉率太低就会累积更多的限额而发送更多的垃圾邮件。但这种防治方式，长期无法普及，这与公众的参与程度是分不开的。微软除了与安全厂商合作之外，最主要的以IE7人工举报为例：“如果你怀疑某网站是一个仿冒网站，可以单击 ‘报告此网站’的功能，这将有助于微软对此网站进行评估”。但从国内用户来看，这种方法很难避免“钓鱼事件”的减少，IE7的在防钓鱼功能的无助也暴露无疑。

    第二，微软产品漏洞，再次引爆“信任危机”
    近日爆料，以色列安全研究人员 Aviv Raff 称，微软 IE7 中存在一个缺陷，可以让钓鱼欺诈网站伪装成正常网站，诱导用户上当受骗。Aviv Raff 指出，问题出现在 IE7 处理本地 HTML 错误信息页面的过程中，比如如果用户临时取消网页的载入，就会出现熟悉的“已取消到该网页的导航”页面，并提供“刷新该网页”的链接。一旦用户点击这个“刷新”链接，就可能陷入虚假网页的欺骗。Raff 已经发布了概念验证型代码，并且演示IE7如何被骗的过程。点击下面的网址，观看演示

    Aviv Raff指出，这是 IE 里常见的跨网站脚本缺陷，Windows XP 和 Windows Vista 下都无法幸免。IE7 此前暴露的几个漏洞也属于此类。微软宣称已经开始就此展开调查。虽然尚未发现任何实际攻击，但在微软发布补丁前，安全专家奉劝用户最好不要轻信 IE 的错误页面。唉！刚刚积攒起来的信任感，又被这个可怕消息抹杀了。