Firefox kiterjesztés blokkjai Dangerous Web Attack

A NoScript egy olyan kis alkalmazás, amely a Firefoxba integrálódik. Ez blokkolja a programozási nyelvek, például a JavaScript és a Java parancsfájlokat a megbízhatatlan weboldalakon történő végrehajtástól. A szkriptek támadást indíthatnak a számítógépre.

A NoScript 1.8.2.1 verziójának legújabb verziója leállítja az úgynevezett "clickjacking" -ot, ahol a böngésző egy személy rosszindulatú, láthatatlan linkre kattint felismerte azt "- mondta Giorgio Maone, egy olasz biztonsági kutató, aki a programot írta és tartja fenn.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépéről]

A Clickjacking több éve ismert, két biztonsági kutató, Robert Hansen és Jeremiah Grossman figyelmeztetett a múlt hónapban olyan új forgatókönyvekről, amelyek veszélyeztethetik az egyén magánéletét, vagy még rosszabbá tehetik a pénzt bankszámláról.

Sajnos a kattintáslehetőség a HTML egyik alapvető tervezési jellemzője miatt lehetséges lehetővé teszi a webhelyek számára, hogy beágyazsanak tartalmakat más weboldalakról, mondta Maone. Szinte minden webböngésző kiszolgáltatva van egy kattintás-támadási támadással.

"Nagyon nehéz megoldani, mert része a web és a böngésző nagyon szövetének" - mondta Maone.

A beágyazott tartalom láthatatlan lehet, de egy személy még tudatlanul kapcsolatba léphet vele. A kattintás-támadási támadás kihasználja azt, hogy a felhasználó megpróbálja rákattintani egy olyan gombra, amely valamilyen funkciót lát el, de ténylegesen valami teljesen más.

A Clickjacking más alkalmazások - például az Adobe Flash program és Microsoft Silverlight. Például a kutatók az elmúlt napokban kimutatták, hogy a kattintás-támadási támadás lehetővé teszi egy személy webkamerájának és mikrofonjának bekapcsolását a tudásuk nélkül.

Kedden egy tanácsadó cég szerint az Adobe azt állítja, a hónap.

A NoScript új fejlesztése, a ClearClick-nek köszönhetően észlelhető, hogy van-e rejtett, beágyazott elem a weblapon belül. Ezután egy figyelmeztető üzenetet jelenít meg, amelyben megkérdezi a felhasználót, hogy még mindig szeretnének-e kattintani.

Maone szerint a ClearClick valószínűleg megáll minden kattintási kísérletet. A NoScript csak a Firefox böngészőhöz használható, ezért a Microsoft Internet Explorer felhasználói - a világ leggyakrabban használt böngészője - sérülékenyek.

A webhelytulajdonosok azonban egy lépést tehetnek annak érdekében, hogy megakadályozzák a felhasználók áldozattá válását, - mondta Maone. A programozók használhatnak egy szkriptet weboldalukon, amely ellenőrzi, hogy egy weboldal be van ágyazva egy másik oldalra. Ha igen, akkor a forgatókönyv kényszeríti a jó weboldalt, és megakadályozza a kattintáskeresést. "

Ezt a technikát" framebusting "-nek nevezik. Az Ebay online fizetési szolgáltatása, a PayPal, amelyet a számítógépes bűnözők gyakran céloznak, már végrehajtotta a kereteket, mondta Maone. A NoScript lehetővé teszi a framebusting parancsfájl futtatását, mondta Maone.

"A legjobb dolog, hogy megtörténhet, hogy a webhelyek tulajdonosai egyre jobban gondolkodnak a biztonságról" - mondta Maone. "Fontos, hogy a webhelyek tulajdonosai terjesszék azt a szavaikat, hogy végre kell hajtaniuk a framebustelést."

A Clickjacking egy komoly, potenciálisan hosszú távú probléma a böngésző fejlesztők számára. Mivel a támadást a HTML-ben egy funkció teszi lehetővé, a HTML-specifikáció módosítását teszi szükségessé.

A webes szabványok csoportja jelenleg a HTML 5-en dolgozik, amely a programozási nyelv új funkcióit fogja beépíteni a jövő webes megjelenítéséhez. De a szabványosítási folyamat lassan mozog, és a HTML-változások megtörhetik a meglévő weboldalakat, mondta Maone.

"A felhasználó számára attól tartok, hogy nincs fix, de a NoScript időközben."