Firefox Extension Blocuri Dangerous Web Attack

NoScript este o aplicație mică care se integrează în Firefox. Blochează scripturile din limbile de programare, cum ar fi JavaScript și Java, de la executarea pe pagini Web nesupuse. Scripturile ar putea fi folosite pentru a lansa un atac asupra unui PC.

Cea mai recentă versiune a lui NoScript, versiunea 1.8.2.1, va opri așa-numitul "clickjacking", în care o persoană care navighează pe Web dă clic pe un link rău intenționat, invizibil realizand acest lucru, a declarat Giorgio Maone, cercetator italian de securitate care a scris si mentine programul.

Clickjacking este cunoscut de mai multi ani, dar atrage din nou atentia dupa doi cercetători de securitate, Robert Hansen și Jeremiah Grossman, au avertizat luna trecută despre noi scenarii care ar putea compromite intimitatea persoanei sau chiar mai rău, fura banii dintr-un cont bancar.

Din păcate, clickjackingul este posibil datorită unei caracteristici de design fundamentale în HTML permite site-urilor Web să încorporeze conținut de pe alte pagini Web, a spus Maone. Aproape toate browserele Web sunt vulnerabile la un atac de tip clickjacking.

"Este un lucru foarte greu de rezolvat deoarece face parte din structura web-ului și a browserului", a spus Maone.

Conținutul încorporat poate fi invizibil, dar o persoană poate încă să interacționeze în mod involuntar cu ea. Un atac de clickjacking profită de faptul că îl înșală pe un utilizator să facă clic pe un buton care pare să facă o anumită funcție, dar de fapt face ceva complet diferit.

Clickjacking-ul poate fi de asemenea realizat prin manipularea plugin-urilor altor aplicații, cum ar fi Adobe Programul Flash și Microsoft Silverlight. De exemplu, cercetătorii din ultimele zile au arătat că este posibil ca un atac de tip clickjacking să pună în mișcare aparatul de fotografiat Web și microfonul unei persoane fără cunoștințele lor.

Adobe a declarat marți că va lansa un patch pentru Flash până la sfârșitul anului luna

Noua îmbunătățire a NoScript, numită ClearClick, poate detecta dacă există un element ascuns, încorporat în cadrul paginii Web. Apoi afișează un mesaj de avertizare care îi întreabă pe utilizatori dacă doresc încă să facă clic pe el.

Maone a spus că ClearClick probabil va opri toate încercările de clic. NoScript este doar pentru browserul Firefox, astfel încât utilizatorii Internet Explorer-ului Microsoft - cel mai folosit browser din lume - sunt vulnerabili.

Proprietarii site-urilor Web pot lua însă un pas pentru a împiedica ca utilizatorii lor să devină victime, A spus Maone. Programatorii pot folosi un script pe site-urile lor Web care verifică dacă o pagină Web este încorporată într-o altă pagină. Dacă așa este, scenariul forțează pagina bună din față, împiedicând click-back-ul, a spus Maone.

Tehnica se numește "framebusting". Serviciul de plăți online al lui Ebay, PayPal, care este frecvent vizat de infractorii cibernetici, a pus deja în aplicare măsuri de reducere a cadrului, a spus Maone. NoScript va permite să ruleze un script framebusting, a spus Maone.

"Cel mai bun lucru care se poate întâmpla este că proprietarii de site-uri Web încep să se gândească mai atent la securitate", a spus Maone. "Este important ca proprietarii de site-uri Web să răspândească cuvintele că ar trebui să pună în aplicare framebusting."

Clickjacking-ul este o problemă serioasă și potențial pe termen lung pentru dezvoltatorii de browsere. Deoarece atacul este activat de o caracteristică în cadrul HTML, aceasta necesită modificări ale caietului de sarcini HTML.

Grupurile de standarde Web lucrează în momentul de față la HTML 5, o specificație care va încorpora noi caracteristici în limba de programare pentru a se potrivi viitorului Web design. Însă procesul de standardizare se mișcă încet, iar modificările la HTML ar putea rupe paginile Web existente, a spus Maone.

"Pentru utilizator, mă tem că nu există nici o soluție fixă,