Android

Az IE8 Clickjacking javítása nem sok segítség, a szakértők szerint

Internet Explorer 8: Állapotsor bemutatása

Internet Explorer 8: Állapotsor bemutatása
Anonim

A Microsoft kiadta a technológiát a következő - Az Internet Explorer 8 böngészője azt állítja, hogy a vállalat "fogyasztóvédelmi" védelmet nyújtott a támadásokhoz, mint kattintáskeresés. A kattintások készítésénél a támadók speciális webes programozást használnak az áldozatok trükközésére a webgombokra kattintva, anélkül, hogy felismernék. A támadást nehezen lehet kihúzni, de a legrosszabb esetben a clickjacking nagyon csúnya dolgokat tehet, például pénzügyekkel foglalkozik a pénzügyi weboldalakon, megváltoztatja a routert vagy a tűzfalat, vagy arra kényszerítheti valakit, hogy töltse le a nem kívánt szoftvert. a probléma annyira hatalmas, hogy a biztonsági szakértők aggódnak amiatt, hogy a Microsoft megközelítése, amely csak akkor működik, ha a webhelyfejlesztők speciális címkéket helyeznek el az oldalukra, amelyek meggátolják saját web gombjaik visszaélésszerű használatát, végül az IE felhasználók hamis biztonságérzetet adhatnak.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépről]

"Ez nem megoldás a kattintásokra a képzelet bármely szakaszán, ez egy kissé mérséklő tényező az IE8 felhasználóit használó nagyon kevés ember számára" - mondta Robert Hansen a SecTheory tanácsadás egyik tagja, és az egyik olyan személy, aki először jelentette be a problémát a Microsoftnak. "De érdekes, hogy komolyan veszik."

Míg egyes webhelyek biztosan használják a Microsoft technológiáját, hogy megakadályozzák az IE látogatókat a clickjacking használatával, egyszerűen túl sok más olyan terület, ahol a HTML kód valószínűleg nem lesz és a hackerek támadást indíthatnak - a router adminisztratív interfészeinek vagy vállalati alkalmazásainak megcélzása vagy olyan webhelyek megkeresése, amelyek még nem jöttek létre a Microsoft javításának végrehajtása során. "Ez egy olyan megoldás, amely akkor is, ha mindenki úgy dönt, hogy ez a helyes módja a dolgoknak, még mindig évekbe és évekbe fognak járni" - mondta Hansen.

Még rosszabb, hogy egyes felhasználók tévesen azt hiszik, támadást csak azért, mert IE-t használnak, állítja Giorgio Maone, a Firefox NoScript plugin fejlesztője, amelyet általában a legtöbb védelem alatt álló webalapú támadás ellen tartanak számon, beleértve a clickjacking-ot is. "A rossz hír az IE rajongók számára az, hogy nincs mágia a doboz védelme alatt - írta a blogján kedden. "Igaz, ez nem igényel semmilyen" böngésző-bővítményt "… de még szigorúbb követelményekkel jár: minden védett helyszínnek már egy új, saját tulajdonú hacket kell elfogadnia, vagyis a végfelhasználónak nem kell ellenőriznie, "

A NoScript lehetővé teszi a felhasználók számára a szkriptnyelvek szelektív blokkolását a Firefox böngészőben. Mivel a clickjacking parancsfájlokat igényel, a támadás nem működik, ha a NoScript engedélyezve van.

Hónapokon a Maone plug-inje a legismertebb technológia a kattintáskeresés megakadályozására. Az IE 8 tesztkóddal azonban a Microsoftnak végül saját alternatívája van.

A helyzet elősegítése érdekében a Maone kompatibilitási funkciót fejleszt ki, hogy a NoScript felhasználók kihasználhassák az IE által használt webkód előnyeit, és mostanra lobbizik, hogy ezt a funkciót a Firefox egy közelgő verziójába vegyék.

Hansen és Maone szintén bírálta a Microsoftot a technikai részletekkel kapcsolatos technikai részletekért. "Annak ellenére, hogy végrehajtották ezt, nem adtak útmutatást arra, hogyan használják fel valójában" - mondta Hansen.

E-mailes nyilatkozatban a Microsoft azt mondta, hogy egy blogbejegyzést tervez az anti-clickjacking hogy ez a hét minden napján működött, és hogy az összes fontosabb böngésző céggel együtt dolgozott ", hogy visszajelzést szerezzen és a kattintáskeltő címke megvalósításán szerepeljen az Internet Explorer 8 RC1 szállítása előtt."

Ez a bejegyzés hasznos lehet. Ahogy a dolgok most állnak, úgy tűnik, hogy "ez a funkció nem teszi lehetővé a felhasználó számára a védelmet" - mondta Jeremiah Grossman, a White Hat Security biztonságtechnikai vezetője.

Hansen elmondta, hogy a Microsoft fejlesztői először javasoltak IE8-as kattintási javításukat néhány hónappal ezelőtt, amikor először leírta nekik a problémát. "Elutasítottam, hogy nem egy hosszú távú, életképes megoldás a kattintásokra" - mondta