IE8-ov Clickjacking ne popravlja puno pomoć, kažu stručnjaci

Microsoft je objavio tehnologiju kao dio prve verzije probne verzije sljedećeg -generiranje Internet Explorer 8 preglednika, rekavši da je tvrtka razvila "potrošač-spreman" zaštita za napad poznat kao clickjacking. Kod klikanja, napadači koriste posebna web programiranja kako bi prevario žrtve klikom na web gumbe, a da to ne shvate. Napad je teško skinuti, ali u najgorem slučaju klikanje može učiniti neke vrlo neugodne stvari, kao što je izvršavanje zaliha zaliha na financijskim web stranicama, promjena usmjerivača ili konfiguracija vatrozida ili čak prisiliti nekoga da preuzimanje neželjenog softvera. problem je toliko ogroman da sigurnosni stručnjaci brinu da Microsoftov pristup, koji funkcionira samo kada programeri web stranica dodaju posebne oznake na njihove stranice koji sprječavaju da se vlastite web gumbi ne koriste zlonamjerno, mogu dati korisnicima IE-a lažni osjećaj sigurnosti.

"To nije rješenje za klikanje po bilo kojem dijelu mašte. To je neodređeno ublažavanje faktora za vrlo malo ljudi koji koriste IE8", rekao je Robert Hansen, izvršni direktor konzultantske udruge SecTheory i jedan od ljudi koji su prvo prijavili problem Microsoftu. "Ali zanimljivo je da ga ozbiljno shvaćaju."

Iako će neke web stranice zasigurno upotrijebiti Microsoftovu tehnologiju kako bi spriječile da posjetitelji IE-a budu pogođeni klikom, postoji jednostavno previše drugih područja gdje HTML vjerojatno neće biti ažurirani i hakeri bi mogli pokrenuti napade - usmjeravanje usmjerivačkih administrativnih sučelja ili korporativnih aplikacija ili odlaskom na web stranice koje nisu uspjele implementirati Microsoftov popravak. "Ovo je rješenje koje, čak i ako svatko odluči da je to pravi način za rad, i dalje će trajati godina i godina obrazovanja", rekao je Hansen.

Još gore, neki korisnici mogu pogrešno misliti da su zaštićeni od napadaju samo zato što koriste IE, kaže Giorgio Maone, razvojni programer Firefox NoScript dodataka koji se obično smatra najboljom zaštitom od mnogih napada na webu, uključujući klikanje. "Loša vijest za IE entuzijaste je da oni nemaju magiju" izvan okvira za zaštitu ", napisao je na svojem blogu u utorak. "Istina, to ne zahtijeva bilo koji" dodatni preglednik "… ali dolazi s još strožim zahtjevom: sve web stranice koje će biti zaštićene moraju već usvojiti novi vlasnički hack, odnosno nešto što krajnji korisnik ne može potvrditi, a nipošto nametnuti ".

NoScript korisnicima omogućuje selektivno blokiranje korištenja skriptnih jezika unutar Firefox preglednika. Budući da klikanje za slikama zahtijeva skriptiranje, napad ne funkcionira kada je omogućen NoScript.

Mjeseci Maoneov dodatak bio je najpoznatija tehnologija za sprječavanje klikanja. Sa IE 8 test kôdom, međutim, Microsoft konačno ima svoju alternativu.

Kako bi pomogla situaciji, Maone razvija značajku kompatibilnosti kako bi korisnici NoScript mogli iskoristiti isti internetski kôd koji koristi IE, i on sada lobira da ovu značajku bude uključena u nadolazeću inačicu Firefoxa. Hansen i Maone također su kritizirali Microsoft zbog čega se oslanjaju na tehničke detalje ove tehnologije. "Iako su to implementirali, nisu dali smjernice o tome kako ga zapravo iskoristiti", rekao je Hansen.

U e-mailu izjavu, Microsoft je rekao da planira staviti post na blogu na anti-clickjacking značajka negdje ovog tjedna i da je radio sa svim većim prodavačima preglednika "da biste dobili povratnu informaciju i unos podataka o implementaciji oznake klikanja prije isporuke Internet Explorera 8 RC1".

Taj post može biti od pomoći. Kako stvari sada stoje, izgleda da "značajka ne dopušta korisniku da se zaštiti", rekao je Jeremiah Grossman, glavni direktor tehnologije s White Hat Security.

Hansen je rekao da su programeri tvrtke Microsoft prvi put predložili svoj IE8 korekciju klikova prije nekoliko mjeseci kada im je prvi put opisao problem. "Odbacio sam to kao dugoročno, održivo rješenje za klikanje", rekao je