Securitatea

Microsoft a lansat tehnologia ca parte a unei versiuni test de lansare a candidatului timpuriu -generare browser-ul Internet Explorer 8, spunând că compania a dezvoltat o protecție "gata pentru consumatori" pentru un atac cunoscut sub numele de clickjacking. În clickjacking, atacatorii folosesc programarea specială pe Web pentru a păcăli victimele făcând clic pe butoanele Web fără ao realiza. Atacul este greu de tras, dar în cel mai rău caz, clickjacking-ul poate face unele lucruri foarte urâte, cum ar fi executarea tranzacțiilor pe site-uri financiare, modificarea configurațiilor de router sau firewall sau chiar forțarea unei persoane să descarce software nedorit. problema este atât de vastă încât experții în securitate se tem că abordarea Microsoft, care funcționează numai atunci când dezvoltatorii de site-uri web adaugă etichete speciale paginilor lor care împiedică utilizarea propriilor butoane de pe Web să fie utilizate în mod abuziv, pot ajunge să ofere utilizatorilor IE un fals sentiment de securitate. [Citeste mai mult: Cum sa elimini malware-ul de pe PC-ul tau de pe Windows]

"Nu este o solutie de a face click-uri de orice intindere a imaginatiei. a consultantului SecTheory și unul dintre cei care au raportat pentru Microsoft prima problemă. "Dar este interesant faptul că o iau în serios."

În timp ce unele site-uri web vor utiliza cu siguranță tehnologia Microsoft pentru a preveni ca vizitatorii IE să nu fie loviți cu clickjacking, există pur și simplu prea multe alte domenii în care codul HTML este puțin probabil să fie actualizată și hackerii ar putea lansa atacuri - vizând interfețele administrative ale router-ului sau aplicațiile corporative sau mergând după site-uri Web care nu au ajuns în jurul implementării soluției Microsoft. "Aceasta este o solutie care, chiar daca toata lumea decide ca aceasta este modalitatea corecta de a face lucrurile, va dura ani si ani de educatie", a spus Hansen.

Mai rau, unii utilizatori s-ar putea gresit sa creada ca sunt protejati de atac doar pentru că utilizează IE, potrivit lui Giorgio Maone, dezvoltatorul pluginului Firefox NoScript, care este în general considerat cea mai bună protecție împotriva multor atacuri bazate pe Web, inclusiv clickjacking. "Vestea proastă pentru entuziaștii din IE este că ei nu au nici o protecție magică" din cutie ", a scris el pe blogul său marți. "Adevărat, nu este nevoie de niciun" browser add-on "… dar vine cu o cerință și mai strictă: toate site-urile care trebuie protejate trebuie să fi adoptat deja un nou hack proprietate, adică ceva ce niciun utilizator final nu poate verifica, să nu mai vorbim de impunere. "

NoScript permite utilizatorilor să blocheze selectiv utilizarea limbilor de scripting în browserul Firefox. Deoarece clickjackingul necesită scripting, atacul nu funcționează atunci când este activat NoScript.

De luni de zile, plug-in-ul Maone a fost cea mai cunoscută tehnologie pentru a împiedica clickjacking-ul. Totuși, cu codul de testare IE 8, Microsoft are în final o alternativă proprie.

Pentru a ajuta situația, Maone dezvoltă o caracteristică de compatibilitate, astfel încât utilizatorii NoScript să poată profita de același cod Web folosit de IE; el este acum lobby pentru a avea această caracteristică inclusă într-o versiune viitoare a Firefox.

Hansen și Maone au criticat Microsoft, de asemenea, pentru a ține cont de detaliile tehnice ale tehnologiei. "Chiar daca au implementat acest lucru, nu au dat nici o indrumare cu privire la modul in care sa le foloseasca de fapt", a spus Hansen.

Microsoft a anuntat intr-un comunicat prin e-mail ca intentioneaza sa faca o postare pe blogul anti-clickjacking caracteristică cândva în această săptămână și că a lucrat cu toți furnizorii de browsere importanți "pentru a obține feedback și informații despre implementarea etichetei clickjacking înainte de a trimite Internet Explorer 8 RC1."

Această postare ar putea fi de ajutor. Așa cum se întâmplă acum, se pare că "caracteristica nu permite utilizatorului să se protejeze", a declarat Jeremiah Grossman, directorul departamentului de tehnologie cu White Hat Security.

Hansen a spus că dezvoltatorii Microsoft au propus pentru prima dată remedierea clicurilor IE8 de câteva luni în urmă, când le-a descris pentru prima dată problema. "Am respins-o ca pe o soluție pe termen lung, viabilă pentru a face clicuri", a spus el.